Эксперты «Лаборатории Касперского» заметили популярный YouTube-канал на китайском языке, который использовался для распространения троянизированной версии установщика браузера Tor. Исследователи назвали эту кампанию OnionPoison и сообщают, что все ее жертвы находятся в Китае.

Дело в том, что браузер Tor запрещен в Китае, и пользователи часто используют сторонние сайты для загрузки установочных файлов. В данном случае ссылка на вредоносный установочный пакет была опубликована на популярном канале YouTube, посвященном анонимности в интернете.

У этого канала более 180 000 подписчиков, а количество просмотров видео с вредоносной ссылкой превышает 64 000. Ролик был опубликован в январе 2022 года, а первые жертвы кампании начали отображаться в телеметрии в марте 2022 года. С тех пор Google уже удалила видео за нарушение правил YouTube .

Эксперты рассказывают, что зараженная версия браузер сохраняла всю историю посещения сайтов и данные, вводимые в формы. Хуже того, одна из библиотек в пакете была заражена шпионским ПО, которое собирало персональные данные пользователей и отправляло их на управляющий сервер хакеров. Также шпионская программа предоставляла злоумышленникам контроль над зараженным компьютером, позволяя выполнять shell-команды.

Вероятно, жертвы кампании OnionPoison находили видео с вредоносной ссылкой через поиск на YouTube. Ролик появлялся в первой строке поисковой выдачи по запросу «Tor浏览器» («браузер Tor» на китайском языке). Описание видео содержало две ссылки: одна для перехода на официальный сайт Tor, а другая — для скачивания вредоносного установочного пакета, размещенного в китайском облачном файлообменнике. Так как оригинальный Tor запрещен в Китае, пользователям приходилось переходить в облачный сервис, чтобы скачать браузер.

Аналитики пишут, что DLL-библиотека второго этапа атака собирала следующую информацию о системе жертвы:

  • GUID дискового тома операционной системы;
  • GUID компьютера;
  • имя компьютера;
  • региональные настройки компьютера;
  • имя текущего пользователя;
  • MAC-адреса сетевых карт.

После сбора информации о системе, DLL начинает передавать сигнальные сообщения командному серверу каждые две минуты. Тело каждого сигнального сообщения содержит JSON-объект с собранной информацией. Сигнальные сообщения отправляются в виде POST-запросов по адресу https://torbrowser[.]io/metrics/heartbeat либо https://tor-browser[.]io/metrics/heartbeat. Тело запроса DLL зашифровывает с помощью псевдослучайного ключа по алгоритму AES-128 (ECB), который затем зашифровывает с помощью открытого ключа RSA, указанного в конфигурации.

В ответ на сигнальные сообщения управляющий сервер может запросить следующую дополнительную информацию:

  • установленное программное обеспечение;
  • запущенные процессы;
  • история браузера Tor;
  • история браузеров Google Chrome и Edge;
  • идентификаторы учетных записей WeChat и QQ, принадлежащих жертве;
  • SSID и MAC-адреса сетей Wi-Fi, к которым подключены жертвы.

Собранная дополнительная информация отправляется на управляющий сервер вместе со следующим сигнальным сообщением. Помимо этого, сервер может запросить выполнение произвольной shell-команды на зараженном компьютере.

Эксперты отмечают и один интересный факт: сайты управляющих серверов визуально идентичны сайту настоящего браузера Tor, а ссылки на скачивание браузера ведут на легитимный сайт Tor.

В отличие от большинства стилеров, модули OnionPoison не занимались автоматическим сбором паролей, cookie-файлов или данных кошельков пользователей. Вместо этого они воровали данные, которые позволяют узнать многое о личности жертвы: историю браузера, идентификаторы учетных записей в социальных сетях и данные сетей Wi-Fi. Эксперты полагают, что злоумышленники могли искать в собранной истории браузеров признаки незаконной деятельности, связываться с жертвами через социальные сети и угрожать сообщить властям.

Источник: xakep