WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Kênh YouTube nổi tiếng phát tán trình cài đặt trình duyệt Tor độc hại
Một kênh YouTube nổi tiếng Trung Quốc bị phát hiện phân phối các bản cài đặt trình duyệt Tor cho Windows có chứa trojan.
Chiến dịch được đặt tên là OnionPoison nhắm vào các nạn nhân ở Trung Quốc. Hiện chưa rõ quy mô của cuộc tấn công, tuy nhiên các nhà nghiên cứu cho biết những nạn nhân đầu tiên xuất hiện tháng 3 năm 2022.
Phiên bản có chứa mã độc của trình cài đặt Tor Browser được phát tán thông qua một liên kết trong mô tả của một video được tải lên YouTube ngày 9 tháng 1 năm 2022. Tính đến nay, video đã có hơn 64.500 lượt xem.
Kênh YouTube có 181.000 người đăng ký và tuyên bố có trụ sở tại Hồng Kông. Tại thời điểm viết bài viết này, video vẫn chưa bị gỡ.
Vụ tấn công khai thác việc Tor Browser bị chặn ở Trung Quốc, và lừa những người dùng tìm kiếm "Tor 浏览 器" (trình duyệt Tor) trên YouTube, khiến họ tải nhầm phiên bản giả mạo.
Khi click vào liên kết, người dùng sẽ được chuyển hướng đến tệp thực thi 74MB. Sau khi được cài đặt, đây sẽ là nơi lưu trữ lịch sử duyệt web của người dùng cùng các dữ liệu được nhập vào các biểu mẫu.
Các nhà nghiên cứu cho biết: “Quan trọng hơn, một trong những thư viện đi kèm với Tor Browser độc hại chứa phần mềm gián điệp thu thập nhiều dữ liệu cá nhân khác nhau và gửi đến một máy chủ C&C”.
Thư viện freebl3.dll được sử dụng làm vũ khí để thiết lập liên hệ với máy chủ từ xa. Nếu địa chỉ IP của nạn nhân có nguồn ngốc từ Trung Quốc, máy chủ sẽ gửi lại một payload có chứa phần mềm gián điệp.
Mô-đun phần mềm gián điệp cung cấp thêm chức năng lọc danh sách phần mềm đã cài đặt và các tiến trình đang chạy, lịch sử trình duyệt, ID tài khoản WeChat và QQ của nạn nhân. Mô-đun cũng có nhiệm vụ thực thi các lệnh shell tùy ý trên máy nạn nhân.
Đáng chú ý, bề ngoài máy chủ C&C (torbrowser [.] Io) chính là bản sao của trang web Tor Browser và các liên kết tải xuống cũng dẫn đến cổng Tor Browser hợp pháp.
Chiến dịch được đặt tên là OnionPoison nhắm vào các nạn nhân ở Trung Quốc. Hiện chưa rõ quy mô của cuộc tấn công, tuy nhiên các nhà nghiên cứu cho biết những nạn nhân đầu tiên xuất hiện tháng 3 năm 2022.
Kênh YouTube có 181.000 người đăng ký và tuyên bố có trụ sở tại Hồng Kông. Tại thời điểm viết bài viết này, video vẫn chưa bị gỡ.
Vụ tấn công khai thác việc Tor Browser bị chặn ở Trung Quốc, và lừa những người dùng tìm kiếm "Tor 浏览 器" (trình duyệt Tor) trên YouTube, khiến họ tải nhầm phiên bản giả mạo.
Khi click vào liên kết, người dùng sẽ được chuyển hướng đến tệp thực thi 74MB. Sau khi được cài đặt, đây sẽ là nơi lưu trữ lịch sử duyệt web của người dùng cùng các dữ liệu được nhập vào các biểu mẫu.
Các nhà nghiên cứu cho biết: “Quan trọng hơn, một trong những thư viện đi kèm với Tor Browser độc hại chứa phần mềm gián điệp thu thập nhiều dữ liệu cá nhân khác nhau và gửi đến một máy chủ C&C”.
Thư viện freebl3.dll được sử dụng làm vũ khí để thiết lập liên hệ với máy chủ từ xa. Nếu địa chỉ IP của nạn nhân có nguồn ngốc từ Trung Quốc, máy chủ sẽ gửi lại một payload có chứa phần mềm gián điệp.
Mô-đun phần mềm gián điệp cung cấp thêm chức năng lọc danh sách phần mềm đã cài đặt và các tiến trình đang chạy, lịch sử trình duyệt, ID tài khoản WeChat và QQ của nạn nhân. Mô-đun cũng có nhiệm vụ thực thi các lệnh shell tùy ý trên máy nạn nhân.
Đáng chú ý, bề ngoài máy chủ C&C (torbrowser [.] Io) chính là bản sao của trang web Tor Browser và các liên kết tải xuống cũng dẫn đến cổng Tor Browser hợp pháp.
Theo: The Hacker News