Выполняя регулярные действия по поиску угроз, Kaspersky Lab обнаружил многочисленные загрузки ранее не включенных в кластер вредоносных программ установки Tor Browser. Согласно данным телеметрии, все жертвы, на которых были нацелены эти программы установки, находятся в Китае.
Поскольку сайт Tor Browser заблокирован в Китае, жители этой страны часто прибегают к загрузке Tor со сторонних сайтов. В данном случае ссылка на вредоносную программу установки Tor была размещена на популярном китайскоязычном канале YouTube, посвященном анонимности в Интернете. У канала более 180 000 подписчиков, а количество просмотров видео с вредоносной ссылкой превысило 64 000. Видео было размещено в январе 2022 года, а первые жертвы кампании начали появляться в телеметрии Касперского в марте 2022 года.
Установка вредоносного Tor Browser настроена так, что он менее приватен, чем оригинальный Tor. В отличие от легитимного, зараженный Tor Browser хранит историю просмотров и данные, введенные в формы веб-сайтов. Более того, одна из библиотек, поставляемых с вредоносным Tor Browser, заражена шпионским ПО, которое собирает различные личные данные и отправляет их на командно-контрольный сервер. Шпионское ПО также обеспечивает выполнение команд командного интерпретатора на машине жертвы, предоставляя злоумышленнику контроль над ней.
Касперский решил назвать эту кампанию "OnionPoison", назвав ее в честь техники луковой маршрутизации, которая используется в браузере Tor.
Indicators of Compromise
Domains
- tor-browser.io
- torbrowser.io
MD5
- 34c43c9b23b40d9d70b4530de781f88a
- 87e33df76d70103a660783c02aac44ac
- 9aabcababd5b677813589f7154302ee0
SHA1
- 04c5a6543e61328b235339358d2e48c0002f0e46
- 3ebf1e989791e3743ceac1c7b397242dd717aea9
- 7e8b9d2bd32b3aea0e298b509d3357d4155af9bc
SHA256
- 3ba945fd2c123fec74efdea042ddab4eb697677c600f83c87e07f895fb1b55e2
- 877fe96cdfa6f742e538396b9a4edb76dd269984bfb41cad5d545e72ce28ffde
- e5cc91fbe01005ef058b1c1d727cfbfb584b012390106bb9c941bc9b1aa96ff7