Эксперты «Лаборатории Касперского» заметили популярный YouTube-канал на китайском языке, который использовался для распространения троянизированной версии установщика браузера Tor. Исследователи назвали эту кампанию OnionPoison и сообщают, что все ее жертвы находятся в Китае.
Дело в том, что браузер Tor запрещен в Китае, и пользователи часто используют сторонние сайты для загрузки установочных файлов. В данном случае ссылка на вредоносный установочный пакет была опубликована на популярном канале YouTube, посвященном анонимности в интернете.
У этого канала более 180 000 подписчиков, а количество просмотров видео с вредоносной ссылкой превышает 64 000. Ролик был опубликован в январе 2022 года, а первые жертвы кампании начали отображаться в телеметрии в марте 2022 года. С тех пор Google уже удалила видео за нарушение правил YouTube .
Эксперты рассказывают, что зараженная версия браузер сохраняла всю историю посещения сайтов и данные, вводимые в формы. Хуже того, одна из библиотек в пакете была заражена шпионским ПО, которое собирало персональные данные пользователей и отправляло их на управляющий сервер хакеров. Также шпионская программа предоставляла злоумышленникам контроль над зараженным компьютером, позволяя выполнять shell-команды.
Вероятно, жертвы кампании OnionPoison находили видео с вредоносной ссылкой через поиск на YouTube. Ролик появлялся в первой строке поисковой выдачи по запросу «Tor浏览器» («браузер Tor» на китайском языке). Описание видео содержало две ссылки: одна для перехода на официальный сайт Tor, а другая — для скачивания вредоносного установочного пакета, размещенного в китайском облачном файлообменнике. Так как оригинальный Tor запрещен в Китае, пользователям приходилось переходить в облачный сервис, чтобы скачать браузер.
Аналитики пишут, что DLL-библиотека второго этапа атака собирала следующую информацию о системе жертвы:
- GUID дискового тома операционной системы;
- GUID компьютера;
- имя компьютера;
- региональные настройки компьютера;
- имя текущего пользователя;
- MAC-адреса сетевых карт.
После сбора информации о системе, DLL начинает передавать сигнальные сообщения командному серверу каждые две минуты. Тело каждого сигнального сообщения содержит JSON-объект с собранной информацией. Сигнальные сообщения отправляются в виде POST-запросов по адресу https://torbrowser[.]io/metrics/heartbeat либо https://tor-browser[.]io/metrics/heartbeat. Тело запроса DLL зашифровывает с помощью псевдослучайного ключа по алгоритму AES-128 (ECB), который затем зашифровывает с помощью открытого ключа RSA, указанного в конфигурации.
В ответ на сигнальные сообщения управляющий сервер может запросить следующую дополнительную информацию:
- установленное программное обеспечение;
- запущенные процессы;
- история браузера Tor;
- история браузеров Google Chrome и Edge;
- идентификаторы учетных записей WeChat и QQ, принадлежащих жертве;
- SSID и MAC-адреса сетей Wi-Fi, к которым подключены жертвы.
Собранная дополнительная информация отправляется на управляющий сервер вместе со следующим сигнальным сообщением. Помимо этого, сервер может запросить выполнение произвольной shell-команды на зараженном компьютере.
Эксперты отмечают и один интересный факт: сайты управляющих серверов визуально идентичны сайту настоящего браузера Tor, а ссылки на скачивание браузера ведут на легитимный сайт Tor.
В отличие от большинства стилеров, модули OnionPoison не занимались автоматическим сбором паролей, cookie-файлов или данных кошельков пользователей. Вместо этого они воровали данные, которые позволяют узнать многое о личности жертвы: историю браузера, идентификаторы учетных записей в социальных сетях и данные сетей Wi-Fi. Эксперты полагают, что злоумышленники могли искать в собранной истории браузеров признаки незаконной деятельности, связываться с жертвами через социальные сети и угрожать сообщить властям.