流行的Youtube频道捕获了恶意的Tor Browser安装程序

一个受欢迎的中文YouTube频道出现，其作为为Tor Browser分发特洛伊木马版本的Windows安装程序的一种手段。

卡巴斯基将这场运动称为”洋葱战役”，所有的受害者都位于中国。此次袭击的规模尚不清楚，但俄罗斯网络安全公司表示，它在2022年3月的遥测中发现了受害者。

  Tor Browser安装程序的恶意版本正在通过2022年1月9日上传到YouTube的视频描述中的链接分发。迄今为止，它已被浏览了64500次。

主办该视频的频道拥有18.1万用户，声称总部设在香港。此后，谷歌因违反YouTube的《社区指南》而从社交媒体平台上撤下视频。

攻击银行以实际的Tor Browser网站在中国被封锁为事实，从而诱骗在YouTube上搜索” Tor浏览器” (即, Tor Browser在中国)的毫无戒心的用户潜在地下载该流氓变种。

点击链接将用户重定向到一个74MB的可执行文件，该可执行文件一旦安装，旨在存储用户的浏览历史和输入网站表单的数据。

卡巴斯基的研究人员列昂尼德·贝兹维申科( Leonid Bezvershenko )和乔治·库切林( Georgy Kucherin )说，更重要的是，其中一个与恶意Tor Browser捆绑在一起的图书馆被间谍软件感染，这些间谍软件收集各种个人数据并将其发送到命令和控制服务器。

武 器化的freebl3 . dll库通过与远程服务器建立联系来实现这一点，远程服务器使用包含间谍软件的第二阶段有效载荷进行响应，但仅当受害者的IP地址来自中国。

除了在受害者机器上执行任意shell命令外，间谍软件模块还提供了将已安装软件和运行进程、浏览器历史记录、受害者微信和QQ帐户ID的列表进行过滤的功能。

值得注意的是，命令和控制服务器( torbrowser [ . ] io )是原始Tor Browser网站的可视化副本，其下载链接指向合法的Tor Browser门户。

此外，与其他信息窃取者不同的是，OnionPoison并不是为了收集用户密码、会话cookie或钱包数据而设计的。相反，这个想法似乎是通过他们的浏览历史、社交网络帐户ID和Wi – Fi网络SSID来识别受害者。

这一发展呼应了另一场运动，在YouTube上寻找欺骗和裂缝的玩家被指向包含链接到恶意存档文件的视频，这些文件分发信息窃取者和加密货币的矿工。谷歌此后终止了被黑客攻击的渠道。

在与《黑客新闻》共享的一份声明中，Tor Project表示，它已经为解决这一问题提供了一个解决方案，并指出修改版本的浏览器的用户在请求更新时将被重定向到官方存储库。

非营利组织说，基本上这个”中毒”的Tor浏览器修改了更新的URL，所以它不能正常更新。我们所做的就是添加一个重定向以响应修改后的URL。这样，当人们更新这个修改后的Tor Browser时，他们被重定向到官方更新的URL。

  (这个故事被修改为包括谷歌和Tor项目的评论,并反映了有关视频被下架的事实。)