YouTube上传恶意Tor浏览器安装程序的欺诈手法

关键要点

• Kaspersky研究人员发现威胁行动者通过YouTube推广恶意Tor浏览器安装程序，目标为中国用户。
• 该恶意安装程序能追踪用户历史和位置信息。
• Tor浏览器官网在中国被封锁，用户被迫利用第三方网站下载。
• 残留的恶意软件会尝试获取各种个人信息并发送至指挥控制服务器。

Kaspersky的研究人员注意到，威胁行为者们采用了一种巧妙的方式，骗取中国用户下载恶意的Tor浏览器安装程序，该程序能够追踪用户的浏览历史和位置信息。

由于Tor浏览器的官方网站在中国被禁止，用户通常需要使用第三方网站来下载这个被限制的浏览器。在这次案例中，，他们的遥测检测到了通过一个受欢迎的发布的恶意安装程序的链接。该频道专注于互联网匿名性，拥有超过180,000名订阅者。

这一恶意安装程序的链接首次出现在YouTube频道的视频中是在1月份，而受害者开始在3月出现，视频观看次数已超过64,000次。

Kaspersky的研究人员将该活动称为“OnionPoison”，源自，他们补充道：“与合法版本不同，感染的Tor浏览器会存储浏览历史和网站表单中输入的数据。更重要的是，恶意Tor浏览器中携带的一个库被恶意间谍软件感染，该间谍软件会收集各种个人数据并发送至指挥控制服务器。此外，间谍软件还能在受害者的计算机上执行shell命令，让攻击者控制该设备。”

链接被嵌入在视频的描述中，由于Tor在中国被封锁，用户被迫下载托管在中国云分享服务上的恶意安装程序。研究人员指出，恶意软件的一个阶段仅在带有中国IP地址的计算机上部署。

“因此，我们可以说OnionPoison活动主要针对位于中国的用户。”

如果安装，指挥控制服务器可能会要求获取来自Tor、Chrome和MicrosoftEdge浏览器的历史记录，以及WeChat和QQ账户的身份信息，WiFi网络的SSID和MAC地址。

Kaspersky的研究人员总结道：“有趣的是，与常见的密码窃取工具不同，OnionPoison植入程序并不会自动收集用户的密码、cookies或钱包。相反，它们收集的是可以用于识别受害者的数据，比如浏览历史、社交网络账户ID和Wi-
Fi网络信息。攻击者可以搜索被盗浏览历史中是否存在非法活动的痕迹，通过社交网络联系受害者，并威胁向当局举报他们。”

如需了解有关此威胁的更多详细信息，请查看。