Ресерчеры
Лаборатории Касперского раскрыли YouTube-канал, через который распространялась троянская версия установщика браузера
Tor для Windows.
Выявленная кампания
получила наименование
OnionPoison и была рассчитана на цели в
КНР. Хотя и масштабы атаки трудно оценить, но
ЛК еще в марте 2022 года обнаружила первых жертв в своей телеметрии.
Вредоносная версия
Tor Browser распространялась по ссылке в описании видеоролику, который был загружен на YouTube еще 9 января 2022 года и имеет более 64 500 просмотров, а сам канал имеет 181 000 подписчиков.
Атака рассчитана на тех пользователей, которые пытались обойти введенную властями
КНР блокировку
Tor Browser, чтобы загрузить ПО, вместо этого получали мошеннический вариант браузера после поиска на
YouTube «Tor浏览器».
Описание видео содержало две ссылки: одна на официальный сайт
Tor Browser, а другая вела к вредоносному установщику, размещенному на китайском облачном сервисе.
После перехода по ссылке для скачивания пользователь перенаправлялся к исполняемому файлу размером 74 МБ.
Одна из библиотек
freebl3.dll, входящих в комплект вредоносного браузера
Tor, отвечала за полезную нагрузку второго этапа, заражая шпионским ПО, которое собирает различные персональные данные и отправляет их на С2.
Компрометация происходила только в том случае, если IP-адрес жертвы принадлежал китайскому сегменту.
Шпионский модуль также имеет функциональные возможности для извлечения списка установленного ПО и запущенных процессов, истории
Google Chrome и Edge, идентификаторов учетных записей
WeChat и QQ, SSID и MAC адресов сетей Wi-Fi, к которым подключены жертвы, а также позволяет операторам запускать произвольные команды оболочки.
Кроме того, в отличие от других стилеров, имплантаты
OnionPoison не предназначены для сбора паролей пользователей, сеансовых файлов cookie или данных кошельков.
Основная заточка - сбор идентифицирующей информации на жертв с помощью их истории просмотров, идентификаторов и
SSID сетей Wi-Fi.
Tor сообщили, что пользователи модифицированной версии браузера будут перенаправлены в официальный репозиторий после запроса обновления. Ну, а
Google ничего не осталось, как удалить видео за нарушение регламента
YouTube.