Pesquisadores relataram que um instalador do navegador Tor infectado foi distribuído por meio de um canal popular do YouTube. A distribuição aconteceu dentro de uma campanha nomeada de OnionPoison.
Os pesquisadores da Kaspersky descobriram essa versão trojanizada de um instalador do Windows para o Navegador Tor sendo distribuída por meio de um popular canal chinês do YouTube.
Instalador do navegador Tor infectado sendo distribuído por canal do YouTube
A campanha, chamada OnionPoison, tinha como alvo usuários localizados na China, onde o site do navegador Tor está bloqueado. Os usuários na China geralmente tentam baixar o navegador Tor de sites de terceiros.
Na campanha OnionPoison, os agentes de ameaças compartilharam um link para um instalador malicioso do Tor postando-o em um popular canal do YouTube em chinês, fornecendo informações sobre o anonimato na Internet. O canal tem mais de 180.000 inscritos e segundo a Kaspersky o vídeo com o link malicioso tinha mais de 64.000 visualizações no momento da descoberta.
O vídeo foi postado em janeiro de 2022 e, de acordo com a telemetria da Kaspersky, as primeiras vítimas foram comprometidas em março de 2022. A versão maliciosa do instalador instala um navegador Tor malicioso que está configurado para expor os dados do usuário, incluindo o histórico de navegação e os dados inseridos nos formulários do site.
Além disso, os especialistas também descobriram que as bibliotecas empacotadas com o navegador Tor malicioso estão infectadas com spyware.
Notícias Relacionadas
O vídeo com o link do instalador malicioso
A descrição do vídeo inclui dois links, um para o site oficial do Tor Browser, enquanto o outro aponta para o instalador malicioso do Tor Browser hospedado em um serviço de compartilhamento de nuvem chinês.
O instalador malicioso tem um tamanho de arquivo de 74,1 MB. Ao executar o instalador, um navegador Tor malicioso é instalado, ele tem a mesma interface do usuário do navegador Tor original.
Esse instalador malicioso não é assinado digitalmente e também descarta alguns arquivos que são diferentes daqueles fornecidos com o instalador original. “O arquivo freebl3.dll está presente no instalador original do navegador Tor; no entanto, seu conteúdo é totalmente diferente da DLL no instalador malicioso”, aponta o relatório.
Os especialistas notaram que a carga útil do segundo estágio contendo o spyware é veiculada apenas para usuários da China. Esse spyware é capaz de coletar informações do sistema e oferecer suporte a recursos de exfiltração de dados. Além de ser capaz de recuperar a lista de softwares instalados e processos em execução, históricos do Google Chrome e Edge, IDs de contas WeChat e QQ das vítimas, SSIDs e endereços MAC de redes Wi-Fi às quais as vítimas estão conectadas, e também permite que as operadoras execute comandos shell arbitrários na máquina vítima.
No entanto, os especialistas acreditam que a campanha OnionPoison não tem motivação financeira porque os agentes de ameaças não coletaram credenciais ou carteiras.
