卡巴斯基的安全研究员近期发现,有大量恶意 Tor 浏览器安装程序的受害者在中国出现。研究人员发现,恶意 Tor 浏览器安装程序的下载链接被发布在一个规模较大的中文 YouTube 频道上,该频道经常分享匿名上网相关的视频。该频道拥有超过 18 万关注者,带有恶意下载链接的视频播放次数超过 6.4 万次。视频在 2022 年 1 月发布,根据卡巴斯基的遥测在 3 月开始出现了第一批受害者。
与原版的 Tor 浏览器相比,恶意 Tor 浏览器会存储用户的浏览记录与输入的表单数据。此外,恶意 Tor 浏览器还捆绑了一个后门,收集各种个人隐私信息回传到 C&C 服务器。为实现远程控制,攻击者为后门部署了远程执行命令的功能。
初始感染
由于与 Tor 浏览器有关,研究人员将其命名为 OnionPoison。攻击的受害者可能是在 YouTube 中搜索特定关键词,例如 Tor 浏览器
,在结果列表中点击了攻击者发布的带有恶意下载链接的视频。
视频中提供两个链接:
Tor 浏览器的官方网站
部署在云服务上的恶意 Tor 浏览器安装程序
恶意安装程序
恶意 Tor 浏览器安装程序的安装界面与官方原始程序是相同的,但恶意 Tor 浏览器安装程序并没有数字签名。并且,恶意 Tor 浏览器安装程序释放的文件与官方原始程序也不相同。
文件名 |
描述 |
freebl3.dll | 官方原始程序也有该文件,但与恶意安装程序中的不同 |
freebl.dll | 只在恶意安装程序中存在,是官方原始程序中 freebl3.dll 文件的副本 |
firefox.exe | 恶意安装程序与官方原始程序只差一个字节,将 https://aus1.torproject.org/torbrowser/update–3/%CHANNEL%/%BUILD 的横线替换为了 https://aus1.torproject.org/torbrowser/update_3/%CHANNEL%/%BUILD 的下划线,阻止 Tor 浏览器更新,防止更新覆盖 freebl3.dll 文件 |
存储浏览历史
启用磁盘上的页面缓存
启用自动表单填写并记录登录数据
为网站存储额外的会话数据
freebl3.dll
Tor 浏览器启动时,会加载 freebl3.dll 文件到 firefox.exe 进程地址空间中。安装恶意 Tor 浏览器的情况下,攻击者使用恶意库文件替换了该文件。但为了确保能正常运行,又提供了 freebl.dll 文件作为 freebl3.dll 的副本。
启动时,恶意库文件会创建一个名为 Global\TBrowser 的互斥量。然后它伪随机地选择以下 C&C 服务器 URL 之一,并向其发起 POST 请求:
https://torbrowser.io/metrics/geoip
https://tor-browser.io/metrics/geoip
二阶段 DLL 文件
通过反复实验,研究人员确定 C&C 服务器仅响应位于中国的失陷主机,这可以确定攻击是针对中国用户的。值得注意的是,这种 IP 检查机制使得通过自动化恶意软件分析沙盒获取第二阶段 Payload 变得异常困难。
加载后,第二阶段 DLL 文件会检索以下系统信息:
操作系统磁盘卷的 GUID
设备 GUID
计算机名称
计算机语言环境
当前用户名
网络适配器的 MAC 地址
DLL 文件每两分钟向 C&C 服务器发送一次心跳保活。每个心跳包都包含系统环境信息的 JSON 对象,发送给 https://torbrowser.io/metrics/heartbeat
或 https://tor-browser.io/metrics/heartbeat
。通信使用伪随机 AES-128 密钥进行加密,再使用配置中指定的 RSA 公钥加密 AES 密钥。
C&C 服务器可能在响应中要求收集以下个人信息:
已安装的软件
运行的进程
Tor 浏览器历史
Chrome 与 Edge 浏览器历史记录
属于受害人的微信与 QQ 账号
受害者连接的 Wi-Fi 网络的 SSID 和 MAC 地址
此外,攻击者还可以通过 C&C 信道下发执行任何命令。执行完成后,结果将被加密后通过 POST 请求发送到 https://torbrowser.io/metrics/geoip
或者 https://tor- browser.io/metrics/geoip
。
C&C 服务器部署的网站与官方网站完全相同,且该网站的下载链接是指向官方下载链接的。
结论
攻击者使用匿名通信软件来引诱受害者,并且通过知名的 YouTube 频道进行分发来增强可信度。攻击者还会收集大量的受害者信息,例如浏览器历史记录、社交网络账户、Wi-Fi 信息等。
攻击者不直接将攻击变现,有可能是走信息窃密类恶意软件的路子。当然,如果是一个不图钱的攻击者可能更加可怕。另外必须要说明的是,千万不要做违反国家相关反律法规的事情,千万不要做违反国家相关反律法规的事情,千万不要做违反国家相关反律法规的事情,重要的事情说三遍。
点击阅读原文即可查看卡巴斯基原始分析文章。