发布于2022年10月15日3年前 一个流行的中文 YouTube 频道已成为分发 Tor 浏览器的 Windows 安装程序的木马版本的一种手段。 卡巴斯基将此次活动命名为OnionPoison,所有受害者都位于中国。攻击的规模尚不清楚,但这家俄罗斯网络安全公司表示,它在 2022 年 3 月的遥测中发现了受害者。 Tor 浏览器安装程序的恶意版本通过 2022 年 1 月 9 日上传到 YouTube 的视频描述中的链接进行分发。迄今为止,该视频已被观看超过 64,500 次。 由于违反了 YouTube 的有害和危险政策,谷歌已从社交媒体平台上撤下该视频。托管该视频的频道拥有 181,000 名订阅者,并声称位于香港。 攻击的原因是实际的 Tor 浏览器网站在中国被封锁,从而诱使毫无戒心的用户在 YouTube 上搜索“Tor 浏览器”(即中文的 Tor 浏览器)下载流氓变体。 单击该链接会将用户重定向到一个 74MB 的可执行文件,该可执行文件一旦安装,旨在存储用户的浏览历史记录和输入网站表单的数据。 卡巴斯基研究人员 Leonid Bezvershenko 和 Georgy Kucherin 说:“更重要的是,与恶意 Tor 浏览器捆绑在一起的其中一个库感染了间谍软件,该软件收集各种个人数据并将其发送到命令和控制服务器。” 武器化的 freebl3.dll 库通过与远程服务器建立联系来实现这一点,该服务器使用包含间谍软件的第二阶段有效负载进行响应,但前提是受害者的 IP 地址来自中国。 除了在受害者机器上执行任意 shell 命令外,间谍软件模块还提供了泄露已安装软件和运行进程列表、浏览器历史记录、受害者的微信和 QQ 帐户 ID 的功能。 命令和控制服务器 (torbrowser[.]io) 值得注意的是,它是原始 Tor 浏览器网站的视觉复制品,其下载链接指向合法的 Tor 浏览器门户。 此外,与其他信息窃取者不同,OnionPoison 并非旨在收集用户密码、会话 cookie 或钱包数据。相反,这个想法似乎是通过他们的浏览历史、社交网络帐户 ID 和 Wi-Fi 网络 SSID 来识别受害者。 这一发展与另一项活动相呼应,在该活动中,在 YouTube 上寻找作弊和破解的游戏玩家被引导到包含指向恶意存档文件链接的视频,该文件分发信息窃取者和加密货币矿工。谷歌已经终止了被黑的频道。 在与 The Hacker News 共享的一份声明中,Tor 项目表示已发布修复程序以解决该问题,并指出浏览器修改版本的用户在请求更新时将被重定向到官方存储库。 “基本上,这个‘中毒’的 Tor 浏览器会修改更新 URL,因此无法正常更新,”该非营利组织表示。“我们所做的是添加重定向以响应修改后的 URL。这样当人们更新这个修改后的 Tor 浏览器时,他们会被重定向到官方更新 URL。” (这个故事已经过修改,包括来自谷歌和 Tor 项目的评论,并反映了相关视频已被删除的事实。)
