Un popular canal de YouTube en idioma chino surgió como un medio para distribuir una versión troyanizada de un instalador de Windows para el navegador Tor.
kaspersky apodado la campaña CebollaVeneno, con todas las víctimas ubicadas en China. La escala del ataque sigue sin estar clara, pero la compañía rusa de ciberseguridad dijo que detectó víctimas que aparecían en su telemetría en marzo de 2022.
La versión maliciosa del instalador del Navegador Tor se distribuye a través de un enlace presente en la descripción de un video que se subió a YouTube el 9 de enero de 2022. Se ha visto más de 64 500 veces hasta la fecha.
El canal que aloja el video tiene 181.000 suscriptores y afirma tener su sede en Hong Kong. El video todavía está disponible para verlo en la plataforma de redes sociales al momento de escribir.
El ataque se basa en el hecho de que el sitio web del Navegador Tor está bloqueado en China, engañando así a los usuarios desprevenidos que buscan «Tor浏览器» (es decir, Navegador Tor en chino) en YouTube para que descarguen potencialmente la variante maliciosa.
Al hacer clic en el enlace, se redirige al usuario a un ejecutable de 74 MB que, una vez instalado, está diseñado para almacenar el historial de navegación de los usuarios y los datos ingresados en los formularios del sitio web.
«Más importante aún, una de las bibliotecas incluidas con el navegador Tor malicioso está infectada con software espía que recopila varios datos personales y los envía a un servidor de comando y control», dijeron los investigadores de Kaspersky Leonid Bezvershenko y Georgy Kucherin.
La biblioteca maliciosa freebl3.dll logra esto al establecer contacto con un servidor remoto que responde con una carga útil de segunda etapa que contiene el software espía, pero solo cuando la dirección IP de la víctima se origina en China.
El módulo de software espía proporciona además la funcionalidad para filtrar una lista de software instalado y procesos en ejecución, historiales de navegador, ID de cuenta de WeChat y QQ de las víctimas, además de ejecutar comandos de shell arbitrarios en la máquina de la víctima.
Lo que es notable sobre el servidor de comando y control (torbrowser[.]io) es que es una réplica visual del sitio web original del Navegador Tor y sus enlaces de descarga conducen al sitio web legítimo del Navegador Tor.
El desarrollo se hace eco de otra campaña en la que los jugadores que buscan trucos y grietas en YouTube son dirigidos a videos que contienen enlaces a un archivo de archivo malicioso que distribuye ladrones de información y criptomineros. Desde entonces, Google ha cancelado los canales pirateados.
The Hacker News se ha comunicado con el gigante de Internet para obtener comentarios sobre los últimos hallazgos, y actualizaremos la historia si recibimos una respuesta.