Popüler bir Çince YouTube kanalı, Tor Tarayıcı için bir Windows yükleyicisinin truva atına dönüştürülmüş bir sürümünü dağıtmanın bir yolu olarak ortaya çıktı.
Kaspersky kampanyanın adını aldı soğan zehiri, Çin’de bulunan tüm kurbanlarla. Saldırının ölçeği belirsizliğini koruyor, ancak Rus siber güvenlik şirketi, Mart 2022’de telemetrisinde kurbanların ortaya çıktığını tespit ettiğini söyledi.
Tor Browser yükleyicisinin kötü amaçlı sürümü, 9 Ocak 2022’de YouTube’a yüklenen bir videonun açıklamasında bulunan bir bağlantı aracılığıyla dağıtılıyor. Bugüne kadar 64.500’den fazla kez görüntülendi.
Videoyu barındıran kanalın 181.000 abonesi var ve Hong Kong merkezli olduğunu iddia ediyor. Video, yazıldığı gibi sosyal medya platformunda hala izlenebiliyor.
Saldırı, gerçek Tor Browser web sitesinin Çin’de engellendiği gerçeğine dayanıyor ve bu nedenle, YouTube’da “Tor浏览器” (yani, Çince Tor Browser) arayan şüpheli olmayan kullanıcıları potansiyel olarak sahte varyantı indirmeleri için kandırıyor.
Bağlantıya tıklamak, kullanıcıyı, yüklendikten sonra, kullanıcıların tarama geçmişini ve web sitesi formlarına girilen verileri depolamak için tasarlanmış 74MB’lık bir yürütülebilir dosyaya yönlendirir.
Kaspersky araştırmacıları Leonid Bezvershenko ve Georgy Kucherin, “Daha da önemlisi, kötü niyetli Tor Tarayıcı ile birlikte gelen kitaplıklardan birine, çeşitli kişisel verileri toplayan ve bir komuta ve kontrol sunucusuna gönderen casus yazılım bulaşmış durumda.” Dedi.
Kötü niyetli freebl3.dll kitaplığı bunu, casus yazılımı içeren ikinci aşamalı bir yük ile yanıt veren, ancak yalnızca kurbanın IP adresi Çin’den geldiğinde yanıt veren uzak bir sunucuyla iletişim kurarak başarır.
Casus yazılım modülü ayrıca, kurban makinesinde rastgele kabuk komutları yürütmenin yanı sıra, yüklü yazılımların ve çalışan işlemlerin, tarayıcı geçmişlerinin, kurbanların WeChat ve QQ hesap kimliklerinin bir listesini sızdırma işlevselliği sağlar.
Komuta ve kontrol sunucusu (torbrowser) hakkında dikkate değer olan şey[.]io), orijinal Tor Browser web sitesinin görsel bir kopyası olması ve indirme bağlantılarının yasal Tor Browser web sitesine yönlendirilmesidir.
Gelişme, YouTube’da hile ve crack arayan oyuncuların bilgi hırsızları ve kripto madencileri dağıtan kötü amaçlı bir arşiv dosyasına bağlantılar içeren videolara yönlendirildiği başka bir kampanyayı yansıtıyor. Google o zamandan beri saldırıya uğramış kanalları sonlandırdı.
Hacker News, en son bulgular hakkında yorum yapmak için internet devine ulaştı ve haber alırsak hikayeyi güncelleyeceğiz.