OnionPoison IOCs

security IOC

Выполняя регулярные действия по поиску угроз, Kaspersky Lab обнаружил многочисленные загрузки ранее не включенных в кластер вредоносных программ установки Tor Browser. Согласно данным телеметрии, все жертвы, на которых были нацелены эти программы установки, находятся в Китае.

Поскольку сайт Tor Browser заблокирован в Китае, жители этой страны часто прибегают к загрузке Tor со сторонних сайтов. В данном случае ссылка на вредоносную программу установки Tor была размещена на популярном китайскоязычном канале YouTube, посвященном анонимности в Интернете. У канала более 180 000 подписчиков, а количество просмотров видео с вредоносной ссылкой превысило 64 000. Видео было размещено в январе 2022 года, а первые жертвы кампании начали появляться в телеметрии Касперского в марте 2022 года.

Установка вредоносного Tor Browser настроена так, что он менее приватен, чем оригинальный Tor. В отличие от легитимного, зараженный Tor Browser хранит историю просмотров и данные, введенные в формы веб-сайтов. Более того, одна из библиотек, поставляемых с вредоносным Tor Browser, заражена шпионским ПО, которое собирает различные личные данные и отправляет их на командно-контрольный сервер. Шпионское ПО также обеспечивает выполнение команд командного интерпретатора на машине жертвы, предоставляя злоумышленнику контроль над ней.

Касперский решил назвать эту кампанию "OnionPoison", назвав ее в честь техники луковой маршрутизации, которая используется в браузере Tor.

Indicators of Compromise

Domains

  • tor-browser.io
  • torbrowser.io

MD5

  • 34c43c9b23b40d9d70b4530de781f88a
  • 87e33df76d70103a660783c02aac44ac
  • 9aabcababd5b677813589f7154302ee0

SHA1

  • 04c5a6543e61328b235339358d2e48c0002f0e46
  • 3ebf1e989791e3743ceac1c7b397242dd717aea9
  • 7e8b9d2bd32b3aea0e298b509d3357d4155af9bc

SHA256

  • 3ba945fd2c123fec74efdea042ddab4eb697677c600f83c87e07f895fb1b55e2
  • 877fe96cdfa6f742e538396b9a4edb76dd269984bfb41cad5d545e72ce28ffde
  • e5cc91fbe01005ef058b1c1d727cfbfb584b012390106bb9c941bc9b1aa96ff7
SEC-1275-1
Добавить комментарий