奇客 卡巴斯基發(fā)現(xiàn)通過(guò) YouTube 頻道傳播的惡意 Tor 瀏覽器

卡巴斯基安全研究人員發(fā)現(xiàn)通過(guò)流行 YouTube 中文頻道傳播的惡意 Tor 瀏覽器。該頻道的訂閱者逾 18 萬(wàn)，相關(guān)視頻的瀏覽量超過(guò) 6.4 萬(wàn)次，視頻是在 2022 年 1 月上傳的，卡巴斯基的調(diào)查顯示最早的受害者是在 2022 年 3 月出現(xiàn)的。安全研究人員將此次攻擊命名為 OnionPoison，惡意版本的 Tor 瀏覽器為 torbrowser-install-win64-11.0.3_zh-cn.exe，沒(méi)有數(shù)字簽名，安裝程序用 Visual Studio 2003–7.10 SDK 編譯，其隱私設(shè)置比原版更弱，捆綁了惡意組件 freebl3.dll，原版也有該文件但惡意版已完全不同，瀏覽器禁用了更新以防止惡意版的 freebl3.dll 被覆蓋。freebl3.dll 會(huì)向 C2 服務(wù)器發(fā)送請(qǐng)求，C2 會(huì)判斷 IP 地址位置，如果在某個(gè)特定區(qū)域則會(huì)下載后續(xù)惡意負(fù)荷 cloud.dll 去收集更多信息。收集的信息包括安裝軟件、運(yùn)行進(jìn)程、Tor 瀏覽器歷史、Google Chrome 和 Edge 瀏覽器歷史，微信和 QQ ID，Wi-Fi 網(wǎng)絡(luò)的 SSID 和 MAC，等等。