OnionPoison Лаборатория Касперского Tor onion YouTube Китай шпионаж
Браузер Tor может использоваться для незаконной деятельности, именно на это опираются злоумышленники.
Исследователи Лаборатории Касперского
обнаружили модифицированную версию браузера Tor , которая собирает конфиденциальные данные о китайских пользователях.
По словам экспертов, собираемые данные включают в себя:
историю просмотра;
данные, введенные в формы веб-сайтов;
ID аккаунтов соцсетей;
информацию о сети Wi-Fi.
Также были обнаружены шпионские программы, спрятанные в прилагаемой библиотеке, которая собирала дополнительную информацию:
имя пользователя;
местоположение компьютера;
MAC-адреса сетевых адаптеров.
Особенностью вредоносного браузера является встроенные инструменты для выполнения команд оболочки, что дает злоумышленнику полный контроль над машиной.
По словам специалистов, злоумышленники могут искать в эксфильтрированных историях браузера следы незаконной деятельности, связываться с жертвами через соцсети и угрожать сообщить о них властям.
Поскольку веб-сайт
Tor – свободное программное обеспечение для реализации второго поколения так называемой «луковой маршрутизации».
Tor – это система, позволяющая устанавливать анонимное сетевое соединение, защищенное от прослушивания. Рассматривается как анонимная сеть, предоставляющая передачу данных в зашифрованном виде. Написана преимущественно на языках программирования Си, C++ и Python.
"
data-html="true" data-original-title="Tor"
>Tor Browser заблокирован в Китае, жители Китая часто загружают Tor со сторонних веб-сайтов. В данном случае ссылка на вредоносный установщик Tor была размещена на популярном китайском YouTube канале, посвященном анонимности в Интернете. Видео было опубликовано в январе 2022 года, а первые жертвы кампании начали появляться в марте 2022 года.
Видео YouTube, которое распространяет вредоносную версию TorВредоносный установщик Tor Browser был размещен на китайском облачном сервисе, и его интерфейс визуально был идентичен настоящему. Однако, у установщика не было цифровой подписи, а некоторые файлы отличались от оригинала.
Исследователи Лаборатории Касперского назвали эту кампанию OnionPoison и подтвердили, что злоумышленники нацелены на пользователей в Китае. Такой вывод сделан потому, что связаться с C&C сервером и получить DLL второго этапа можно только при подделке китайского IP-адреса.
Вне зависимости от мотивов хакера, лучший способ избежать заражения имплантатами OnionPoison — всегда скачивать ПО с официальных сайтов. Если скачать с официального сайта невозможно, то вместо этого нужно проверить подлинность установщиков, загруженных из сторонних источников, изучив их цифровые подписи.
SECURITYLAB.RU
.png)
