Một kênh YouTube bằng tiếng Trung phổ biến đã nổi lên như một phương tiện để phân phối phiên bản trojanized của trình cài đặt Windows cho Tor Browser.
Kaspersky đặt tên cho chiến dịch OnionPoison, với tất cả các nạn nhân đều ở Trung Quốc. Quy mô của cuộc tấn công vẫn chưa rõ ràng, nhưng công ty an ninh mạng của Nga cho biết họ đã phát hiện các nạn nhân xuất hiện trong máy đo từ xa của họ vào tháng 3 năm 2022.
Phiên bản độc hại của trình cài đặt Tor Browser đang được phát tán qua một liên kết có trong phần mô tả của một video được tải lên YouTube vào ngày 9 tháng 1 năm 2022. Tính đến nay, nó đã được xem hơn 64.500 lần.
Kênh lưu trữ video có 181.000 người đăng ký và tuyên bố có trụ sở tại Hồng Kông. Video vẫn có sẵn để xem trên nền tảng truyền thông xã hội kể từ khi viết bài.
Các cuộc tấn công dựa trên thực tế là trang web Tor Browser thực sự bị chặn ở Trung Quốc, do đó đánh lừa những người dùng không nghi ngờ đang tìm kiếm “Tor 浏览 器” (tức là Tor Browser trong tiếng Trung) trên YouTube có khả năng tải xuống biến thể giả mạo.
Nhấp vào liên kết chuyển hướng người dùng đến tệp thực thi 74MB, sau khi được cài đặt, được thiết kế để lưu trữ lịch sử duyệt web của người dùng và dữ liệu được nhập vào các biểu mẫu trang web.
Các nhà nghiên cứu Leonid Bezvershenko và Georgy Kucherin của Kaspersky cho biết: “Quan trọng hơn, một trong những thư viện đi kèm với Tor Browser độc hại bị nhiễm phần mềm gián điệp thu thập nhiều dữ liệu cá nhân khác nhau và gửi nó đến một máy chủ điều khiển và chỉ huy”.
Thư viện freebl3.dll được vũ khí hóa đạt được điều này bằng cách thiết lập liên hệ với máy chủ từ xa phản hồi lại bằng trọng tải giai đoạn hai có chứa phần mềm gián điệp, nhưng chỉ khi địa chỉ IP của nạn nhân có nguồn gốc từ Trung Quốc.
Mô-đun phần mềm gián điệp cung cấp thêm chức năng lọc danh sách phần mềm đã cài đặt và các quy trình đang chạy, lịch sử trình duyệt, ID tài khoản WeChat và QQ của nạn nhân, ngoài việc thực hiện các lệnh shell tùy ý trên máy nạn nhân.
Có gì đáng chú ý về máy chủ điều khiển và lệnh (torbrowser[.]io) là bản sao trực quan của trang web Tor Browser gốc và các liên kết tải xuống của nó dẫn đến cổng Tor Browser hợp pháp.
Sự phát triển này lặp lại một chiến dịch khác, trong đó những người chơi tìm kiếm gian lận và bẻ khóa trên YouTube đang được chuyển hướng đến các video có chứa liên kết đến một tệp lưu trữ độc hại phân phối những kẻ đánh cắp thông tin và những kẻ khai thác tiền điện tử. Google đã chấm dứt các kênh bị tấn công.
Tin tức Hacker đã liên hệ với gã khổng lồ internet để nhận xét về những phát hiện mới nhất và chúng tôi sẽ cập nhật câu chuyện nếu chúng tôi nhận được phản hồi.
