卡巴斯基的安全研究员近期发现，有大量恶意 Tor 浏览器安装程序的受害者在中国出现。研究人员发现，恶意 Tor 浏览器安装程序的下载链接被发布在一个规模较大的中文 YouTube 频道上，该频道经常分享匿名上网相关的视频。该频道拥有超过 18 万关注者，带有恶意下载链接的视频播放次数超过 6.4 万次。视频在 2022 年 1 月发布，根据卡巴斯基的遥测在 3 月开始出现了第一批受害者。

与原版的 Tor 浏览器相比，恶意 Tor 浏览器会存储用户的浏览记录与输入的表单数据。此外，恶意 Tor 浏览器还捆绑了一个后门，收集各种个人隐私信息回传到 C&C 服务器。为实现远程控制，攻击者为后门部署了远程执行命令的功能。

初始感染

由于与 Tor 浏览器有关，研究人员将其命名为 OnionPoison。攻击的受害者可能是在 YouTube 中搜索特定关键词，例如 Tor 浏览器，在结果列表中点击了攻击者发布的带有恶意下载链接的视频。

视频中提供两个链接：

• Tor 浏览器的官方网站

• 部署在云服务上的恶意 Tor 浏览器安装程序

恶意安装程序

恶意 Tor 浏览器安装程序的安装界面与官方原始程序是相同的，但恶意 Tor 浏览器安装程序并没有数字签名。并且，恶意 Tor 浏览器安装程序释放的文件与官方原始程序也不相同。

• 存储浏览历史

• 启用磁盘上的页面缓存

• 启用自动表单填写并记录登录数据

• 为网站存储额外的会话数据

freebl3.dll

Tor 浏览器启动时，会加载 freebl3.dll 文件到 firefox.exe 进程地址空间中。安装恶意 Tor 浏览器的情况下，攻击者使用恶意库文件替换了该文件。但为了确保能正常运行，又提供了 freebl.dll 文件作为 freebl3.dll 的副本。

启动时，恶意库文件会创建一个名为 Global\TBrowser 的互斥量。然后它伪随机地选择以下 C&C 服务器 URL 之一，并向其发起 POST 请求：

• https://torbrowser.io/metrics/geoip

• https://tor-browser.io/metrics/geoip

二阶段 DLL 文件

通过反复实验，研究人员确定 C&C 服务器仅响应位于中国的失陷主机，这可以确定攻击是针对中国用户的。值得注意的是，这种 IP 检查机制使得通过自动化恶意软件分析沙盒获取第二阶段 Payload 变得异常困难。

加载后，第二阶段 DLL 文件会检索以下系统信息：

• 操作系统磁盘卷的 GUID

• 设备 GUID

• 计算机名称

• 计算机语言环境

• 当前用户名

• 网络适配器的 MAC 地址

DLL 文件每两分钟向 C&C 服务器发送一次心跳保活。每个心跳包都包含系统环境信息的 JSON 对象，发送给 https://torbrowser.io/metrics/heartbeat 或 https://tor-browser.io/metrics/heartbeat。通信使用伪随机 AES-128 密钥进行加密，再使用配置中指定的 RSA 公钥加密 AES 密钥。

C&C 服务器可能在响应中要求收集以下个人信息：

• 已安装的软件

• 运行的进程

• Tor 浏览器历史

• Chrome 与 Edge 浏览器历史记录

• 属于受害人的微信与 QQ 账号

• 受害者连接的 Wi-Fi 网络的 SSID 和 MAC 地址

此外，攻击者还可以通过 C&C 信道下发执行任何命令。执行完成后，结果将被加密后通过 POST 请求发送到 https://torbrowser.io/metrics/geoip 或者 https://tor- browser.io/metrics/geoip。

C&C 服务器部署的网站与官方网站完全相同，且该网站的下载链接是指向官方下载链接的。

结论

攻击者使用匿名通信软件来引诱受害者，并且通过知名的 YouTube 频道进行分发来增强可信度。攻击者还会收集大量的受害者信息，例如浏览器历史记录、社交网络账户、Wi-Fi 信息等。

攻击者不直接将攻击变现，有可能是走信息窃密类恶意软件的路子。当然，如果是一个不图钱的攻击者可能更加可怕。另外必须要说明的是，千万不要做违反国家相关反律法规的事情，千万不要做违反国家相关反律法规的事情，千万不要做违反国家相关反律法规的事情，重要的事情说三遍。

点击阅读原文即可查看卡巴斯基原始分析文章。