Kaspersky Lab’deki siber güvenlik uzmanları, Tor Web Tarayıcısı için Windows yükleyicisinin şifreli bir sürümünün ünlü bir Çin YouTube kanalı aracılığıyla dağıtıldığını tespit etti.
Bu kötü niyetli kampanya, Kaspersky’deki güvenlik uzmanları tarafından “OnionPoison” olarak adlandırıldı. Tehdit aktörleri yalnızca Çin’den gelen kurbanları hedef aldığından bu kampanya Çin’de yaşayan çok sayıda insanı etkilemiştir.
Şu anda, saldırının ne kadar büyük olduğu belli değil. Ancak Mart 2022’de Kaspersky Lab, kurbanların telemetri kanıtlarını tespit etti.
Kötü Amaçlı YouTube Kanalı
Bir videonun açıklamasında, kötü amaçlı yazılımın indirilmesine yol açan kötü amaçlı Tor Tarayıcı yükleyicisine bir bağlantı bulunur. 9 Ocak 2022’de bu video, tehdit aktörleri tarafından YouTube’a yüklendi.
Şu ana kadar video, YouTube’da 64.500’den fazla görüntüleme aldı ve videonun yüklendiği kanalın 181.000 abonesi var. Bunun dışında güvenlik uzmanları, bu kötü niyetli YouTube kanalının Hong Kong merkezli olduğunu iddia ettiler.
Bu saldırının arkasındaki birincil neden, Çin’deki Tor web tarayıcısının yasaklanmasıdır. Bu nedenle, tehdit aktörleri, şüphelenmeyen kullanıcıları video paylaşım web sitesinde aradıklarında Tor Tarayıcı’nın hileli türevini (“Tor浏览器”) indirmeleri için kandırmak için YouTube’u kullanır.
soğanZehir Zinciri
Video, videonun açıklamasında bulunabilecek iki bağlantı içerir. İlk bağlantı, kullanıcıyı Tor Tarayıcının resmi web sitesine yönlendirir. Öte yandan, ikinci bağlantı, kullanıcıları kötü amaçlı bir Tor Browser yükleyici yürütülebilir dosyasına (74MB) yönlendirir.
Tor tarayıcı Çin’de yasaklandığından, kullanıcıların Tor tarayıcısının kötü amaçlı sürümünü indirmesini sağlamak için tehdit aktörleri, kullanıcıları bu sahte sürümü barındırdıkları bir Çin bulut paylaşım hizmetine yönlendirir.
Bu kötü amaçlı yürütülebilir yükleyici, kullanıcının virüslü sisteminde aşağıdakileri yapmak için tasarlanmıştır: –
- Tarama geçmişini saklayın
- Diskteki sayfaların önbelleğe alınmasını etkinleştir
- Otomatik form doldurmayı ve oturum açma verilerinin ezberlenmesini etkinleştirin
- Web siteleri için ekstra oturum verilerini saklayın
Bu, kötü niyetli freebl3.dll kitaplığının, o sunucuyla bağlantı kurulduğunda uzak bir sunucudan geri alınan casus yazılımı içeren bir yük ile sisteme bulaşmasıyla sağlanır.
Tek koşul, saldırının başarılı olması için kurbanın IP adresinin Çin’den gelmesi gerektiğidir. Ek olarak, casus yazılım modülünün aşağıdaki verileri sızdırma olasılığı vardır:-
- Yüklü yazılımların listesi
- Çalışan işlemlerin listesi
- Google Chrome ve Edge geçmişi
- Wi-Fi ağlarının SSID’leri ve MAC adresleri
- Kurbanların WeChat hesap kimlikleri
- Kurbanların QQ hesap kimlikleri
Burada en şok edici şey, kötü niyetli C&C’nin (torbrowser)[.]io), Tor Browser’ın orijinal web sitesinin tam bir kopyasıdır. Sahte web sitesinde bulunan indirme bağlantıları, kullanıcıları Tor Browser’ın orijinal web sitesine götürür.
Ayrıca bu kampanya sırasında tehdit aktörleri, anonimleştirme yazılımları kullanarak hedeflerini cezbetmiştir.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin