Popular YouTube Channel Caught Distributing Malicious Tor Browser Installer
2022/10/04 TheHackerNews — 中国語の人気 YouTube チャネルが、トロイの木馬化した Windows 版の Tor Browser インストーラを配布する手段として浮かび上がっている。Kaspersky は、このキャンペーンを OnionPoison と名付け、被害者の全てが中国のユーザーであることを公表した。現時点で、攻撃の規模は不明だが、2022年3月にはテレメトリーで被害者を検出したと、同社は述べている。
不正なバージョンの Tor Browser インストーラは、2022年1月9日に YouTube にアップロードされた動画の、説明文に記載されたリンクを通じて配布されている。これらの動画は、現在までに 64,500回以上視聴されているという。
この、Youtube で動画を公開しているチャネルの登録者数は 181,000人であり、その拠点は香港に置くと記されている。なお、これらの動画は、本稿の執筆時点でも同メディアで視聴できる。
この攻撃は、本物の Tor Browser のサイトが、中国でブロックされていることを悪用し、YouTube で Tor Browser (中国語で Tor浏览器) を検索した無知なユーザーを騙し、不正な亜種をダウンロードさせるものだ。
動画の説明文に記載されたリンクをクリックすると、74MB の実行ファイルにリダイレクトされる。この実行ファイルがインストールされると、ユーザーの閲覧履歴や Web サイト・フォームへの入力データを保存するようになる。
Kaspersky の研究者である Leonid Bezvershenko と Georgy Kucherin は、「さらに重要なのは、悪質な Tor Browser にバンドルされているライブラリの1つが、様々な個人データを収集して C2 サーバに送信する、スパイウェアに感染していることだ」と述べている。
武器化された freebl3.dll ライブラリは、リモート・サーバと接続されることで、スパイウェアなどの第二段階のペイロードをロードするが、この機能は、被害者の IP アドレスが中国に由来する場合にのみ実行可能となる。
このスパイウェア・モジュールは、被害者のマシン上で任意のシェルコマンドを実行するだけではなく、インストールされたソフトウェア/実行中のプロセスのリスト/ブラウザーの履歴/被害者の WeChat/ QQ アカウント ID などを、流出させる機能も備えている。
この C2 サーバ (torbrowser[.]io) について特筆すべき点は、オリジナルの Tor Browser のサイトを視覚的に模倣しており、そのダウンロードリンクが正規の Tor Browser ポータルにつながっていることだ。
このような悪意のアクティビティの展開は、YouTube でチートやクラックを探しているゲーマーが、情報窃盗犯や暗号通貨採掘犯を配布する、悪質なアーカイブ・ファイルへのリンクを含む動画に誘導されるという、別のキャンペーンと呼応している。なお、Google は、その後にハッキングされたチャネルを削除している。
先日に、statista というサイトをぼ~っと眺めていたら、VPNs Surge Amid Protests, Conflict and War in 2022 というコンテンツを見つけました。こちらは Tor ではなくVPN ですが、強権国家に住む人々が、安全で自由なインターネットを望んでいることが、強く伝わってきます。そして、ゲーマーが狙われているようですが、9月6日の「Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?」や、9月27日の「NullMixer の新キャンペーン:ユーザーの認証情報窃取 + 各種 RAT の大量散布」には、攻撃の背景や手口などが記されています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.