Kaspersky aurait découvert qu’une version modifiée de Tor Browser, le navigateur libre qui permet de naviguer anonymement sur Internet, serait mise à disposition des utilisateurs dans des vidéos en langue chinoise sur YouTube. Les chercheurs évoquent une campagne qui relève plus de la surveillance que de la cybercriminalité.

Assez ironiquement, le lien vers le malware serait mis à dispositions des visiteurs dans les informations d’une vidéo YouTube leur apprenant comment rester anonyme en ligne. Est-ce qu’OnionPoison, c’est le nom de cette campagne de distribution de malware, pourrait être commandité par des instances d’état ? On ne peut être affirmatif, mais notons tout de même que les hackers visent spécifiquement les citoyens de l’Empire du Milieu qui souhaitent passer inaperçus (le programme installé sur l’ordinateur hôte ne vise que les IP en provenance de Chine)

OnionPoison est en tout cas un succès pour les hackers, puisque la chaîne sur laquelle le lien a été partagée est suivie par 180 000 abonnés et que la vidéo incriminée a été visionnée 64000. Cette dernière était le premier résultat de la recherche “Tor Browser” en Chine. La description de la vidéo contient deux liens : le premier mène vers le site officiel, tandis que le deuxième mène vers un site de partage de fichiers. Comme il n’est pas possible de télécharger Tor Browser par la voie officielle en Chine, le site du Tor Project y étant bloqué, les visiteurs les plus mauvais vont s’empresser de cliquer sur le lien vers le virus.

Le malware trouvé sur YouTube sert à déterminer l'identité des internautes

Les experts de Kaspersky Lab, la compagnie qui voulait lancer un smartphone “impossible à pirater”, estiment que le malware aura mis deux mois à faire ses premières victimes. Comme il se doit, le virus inspiré par OnionPoison donne le contrôle de l’ordinateur des victimes aux pirates. Comme la version malware de Tor est configurée pour ne plus être anonymisée du tout, les données saisies dans les formulaires et l’historique de navigation sont stockées sur l’ordinateur, et envoyées vers un serveur distant.

Pire encore, le centre de contrôle vers lequel toutes ces données sont envoyées peut obtenir les identifiants de compte QQ et WeChat de l’ordinateur cible. Rappelons qu’en Chine, le compte WeChat est devenu indispensable dans la vie quotidienne des gens, et fait quasiment office de carte d’identité. Les internautes chinois désireux de préserver leur anonymat se sont laissés piéger, il n’ont pas respecté cette précaution de base : il ne faut télécharger des fichiers qu’en provenance d’une source de confiance. À l’heure actuelle YouTube est loin d’être fiable, la plateforme de partage de vidéos semble même être un repaire de distributeurs de virus, à l’instar de ce malware ultra dangereux se propage automatiquement sur les vidéos gaming.