卡巴斯基通报发现部分流行的中文YouTube频道发布受感染的洋葱浏览器
卡巴斯基通报发现部分流行的中文YouTube频道发布受感染的洋葱浏览器
在卡巴斯基安全人员的定期威胁活动搜索中,发现了通过使用流行中文YouTube频道分发的恶意洋葱浏览器版本,受感染的 Tor 浏览器会存储浏览历史记录和输入到网站表单中的数据。更重要的是,与恶意 Tor 浏览器捆绑在一起的其中一个库感染了间谍软件,该软件收集各种个人数据并将其发送到命令和控制服务器。间谍软件还提供了在受害者机器上执行 shell 命令的功能,从而让攻击者能够使用远程控制
我们决定将此活动命名为“OnionPoison”,以 Tor 浏览器中使用的洋葱路由技术命名。
恶意 freebl3.dll 库会在后台上传使用者的IP,并且只激活位于中国的程序,此时与C2服务器进行交互,并且注册进程,同时将会扫描并上传受感染PC电脑的部分数据内容,如:
1.已安装的软件;
2.运行进程;
3.TOR浏览器历史;
4.Google Chrome 和 Edge 历史记录;
5.属于受害人的微信和QQ账号;
6.受害者连接的 Wi-Fi 网络的 SSID 和 MAC 地址。
收集到的附加信息将会与下一条心跳消息一起发送到 C2 服务器。
不过与常见的窃取程序不同,OnionPoison 植入程序不会自动收集用户密码、cookie 或钱包。相反,他们收集可用于识别受害者的数据,例如浏览历史记录、社交网络帐户 ID 和 Wi-Fi 网络。这一点非常值得我们回味,收集这些要干什么大家不言而喻,只能说警惕内鬼
原文:
