Модифицированная версия Tor Browser шпионит за китайскими пользователями

OnionPoison Лаборатория Касперского Tor onion YouTube Китай шпионаж
Модифицированная версия Tor Browser шпионит за китайскими пользователями
OnionPoison Лаборатория Касперского Tor onion YouTube Китай шпионаж

Браузер Tor может использоваться для незаконной деятельности, именно на это опираются злоумышленники.

Исследователи Лаборатории Касперского обнаружили модифицированную версию браузера Tor , которая собирает конфиденциальные данные о китайских пользователях.

По словам экспертов, собираемые данные включают в себя:

  • историю просмотра;
  • данные, введенные в формы веб-сайтов;
  • ID аккаунтов соцсетей;
  • информацию о сети Wi-Fi.

Также были обнаружены шпионские программы, спрятанные в прилагаемой библиотеке, которая собирала дополнительную информацию:

  • имя пользователя;
  • местоположение компьютера;
  • MAC-адреса сетевых адаптеров.

Особенностью вредоносного браузера является встроенные инструменты для выполнения команд оболочки, что дает злоумышленнику полный контроль над машиной.

По словам специалистов, злоумышленники могут искать в эксфильтрированных историях браузера следы незаконной деятельности, связываться с жертвами через соцсети и угрожать сообщить о них властям.

Поскольку веб-сайт Tor Browser заблокирован в Китае, жители Китая часто загружают Tor со сторонних веб-сайтов. В данном случае ссылка на вредоносный установщик Tor была размещена на популярном китайском YouTube канале, посвященном анонимности в Интернете. Видео было опубликовано в январе 2022 года, а первые жертвы кампании начали появляться в марте 2022 года.


Видео YouTube, которое распространяет вредоносную версию Tor

Вредоносный установщик Tor Browser был размещен на китайском облачном сервисе, и его интерфейс визуально был идентичен настоящему. Однако, у установщика не было цифровой подписи, а некоторые файлы отличались от оригинала.

Исследователи Лаборатории Касперского назвали эту кампанию OnionPoison и подтвердили, что злоумышленники нацелены на пользователей в Китае. Такой вывод сделан потому, что связаться с C&C сервером и получить DLL второго этапа можно только при подделке китайского IP-адреса.

Вне зависимости от мотивов хакера, лучший способ избежать заражения имплантатами OnionPoison — всегда скачивать ПО с официальных сайтов. Если скачать с официального сайта невозможно, то вместо этого нужно проверить подлинность установщиков, загруженных из сторонних источников, изучив их цифровые подписи.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Новости по теме

Точность и мощь: Умные водометы с ИИ от Китая поднимают планку в сфере нелетального оружия

Один против всей КНДР: хакер, который несколько лет отстаивал честь США, снимает маску

Tiantong vs. Starlink: китайские смартфоны теперь могут звонить напрямую из космоса

У телеком-операторов Китая есть 3 года, чтобы отказаться от американских чипов

Китай обрубил кислород российской электронике - производители встали из-за проблем с оплатой компонентов

Китайские марки с QR-кодами привели к экономической войне с Великобританией

ВТБ, Тинькофф и теперь Сбербанк: в App Store атака клонов банковских приложений

Эпидемия малвертайзинга: почему блокировщики рекламы – не просто удобство, а необходимость

Новые времена для мобильного YouTube: борьба с блокировщиками рекламы ужесточается