恶意 Tor 浏览器安装程序正通过 YouTube 进行分发

卡巴斯基的安全研究员近期发现,有大量恶意 Tor 浏览器安装程序的受害者在中国出现。研究人员发现,恶意 Tor 浏览器安装程序的下载链接被发布在一个规模较大的中文 YouTube 频道上,该频道经常分享匿名上网相关的视频。该频道拥有超过 18 万关注者,带有恶意下载链接的视频播放次数超过 6.4 万次。视频在 2022 年 1 月发布,根据卡巴斯基的遥测在 3 月开始出现了第一批受害者。


与原版的 Tor 浏览器相比,恶意 Tor 浏览器会存储用户的浏览记录与输入的表单数据。此外,恶意 Tor 浏览器还捆绑了一个后门,收集各种个人隐私信息回传到 C&C 服务器。为实现远程控制,攻击者为后门部署了远程执行命令的功能。

初始感染

由于与 Tor 浏览器有关,研究人员将其命名为 OnionPoison。攻击的受害者可能是在 YouTube 中搜索特定关键词,例如 Tor 浏览器,在结果列表中点击了攻击者发布的带有恶意下载链接的视频。

视频中提供两个链接:

  • Tor 浏览器的官方网站

  • 部署在云服务上的恶意 Tor 浏览器安装程序

观看视频的用户点击了第二个链接,下载了部署在云服务上的恶意程序。

恶意安装程序

恶意 Tor 浏览器安装程序的安装界面与官方原始程序是相同的,但恶意 Tor 浏览器安装程序并没有数字签名。并且,恶意 Tor 浏览器安装程序释放的文件与官方原始程序也不相同。

文件名
描述
freebl3.dll 官方原始程序也有该文件,但与恶意安装程序中的不同
freebl.dll 只在恶意安装程序中存在,是官方原始程序中 freebl3.dll 文件的副本
firefox.exe 恶意安装程序与官方原始程序只差一个字节,将 https://aus1.torproject.org/torbrowser/update–3/%CHANNEL%/%BUILD 的横线替换为了 https://aus1.torproject.org/torbrowser/update_3/%CHANNEL%/%BUILD 的下划线,阻止 Tor 浏览器更新,防止更新覆盖 freebl3.dll 文件


恶意 Tor 浏览器安装程序的另一个典型特点在于,攻击者降低了它的私密性。通过修改存储在 browser\omni.ja 中 \defaults\preferences\000-tor-browser.js 的配置文件,将 Tor 浏览器配置为:
  • 存储浏览历史

  • 启用磁盘上的页面缓存

  • 启用自动表单填写并记录登录数据

  • 为网站存储额外的会话数据

freebl3.dll

Tor 浏览器启动时,会加载 freebl3.dll 文件到 firefox.exe 进程地址空间中。安装恶意 Tor 浏览器的情况下,攻击者使用恶意库文件替换了该文件。但为了确保能正常运行,又提供了 freebl.dll 文件作为 freebl3.dll 的副本。



启动时,恶意库文件会创建一个名为 Global\TBrowser 的互斥量。然后它伪随机地选择以下 C&C 服务器 URL 之一,并向其发起 POST 请求:

  • https://torbrowser.io/metrics/geoip

  • https://tor-browser.io/metrics/geoip

POST 请求头格式如下所示:

C&C 服务器会返回一个加密的第二阶段 Payload 作为响应。此 Payload 使用两层异或加密进行解密:第一层密钥为 Payload 的长度,而第二层密钥是 D65CB35A-58CB-4456-A7B7-E1B218770A9E。在解密后,恶意 DLL 文件使用 RtlDecompressBuffer 函数对其进行解压,从而获得另一个恶意 DLL 文件。然后,恶意软件反射加载此 DLL 文件并调用其入口点函数。

二阶段 DLL 文件

通过反复实验,研究人员确定 C&C 服务器仅响应位于中国的失陷主机,这可以确定攻击是针对中国用户的。值得注意的是,这种 IP 检查机制使得通过自动化恶意软件分析沙盒获取第二阶段 Payload 变得异常困难。

加载后,第二阶段 DLL 文件会检索以下系统信息:

  • 操作系统磁盘卷的 GUID

  • 设备 GUID

  • 计算机名称

  • 计算机语言环境

  • 当前用户名

  • 网络适配器的 MAC 地址

如果是在失陷主机上首次启动,还会生成一个伪随机受害者 GUID 并保存在 HKCU\SOFTWARE\Mozilla\Firefox 的注册表中。

DLL 文件每两分钟向 C&C 服务器发送一次心跳保活。每个心跳包都包含系统环境信息的 JSON 对象,发送给 https://torbrowser.io/metrics/heartbeat 或 https://tor-browser.io/metrics/heartbeat。通信使用伪随机 AES-128 密钥进行加密,再使用配置中指定的 RSA 公钥加密 AES 密钥。

C&C 服务器可能在响应中要求收集以下个人信息:

  • 已安装的软件

  • 运行的进程

  • Tor 浏览器历史

  • Chrome 与 Edge 浏览器历史记录

  • 属于受害人的微信与 QQ 账号

  • 受害者连接的 Wi-Fi 网络的 SSID 和 MAC 地址

这些信息会随着心跳包一起发送回 C&C 服务器。

此外,攻击者还可以通过 C&C 信道下发执行任何命令。执行完成后,结果将被加密后通过 POST 请求发送到 https://torbrowser.io/metrics/geoip 或者 https://tor- browser.io/metrics/geoip

C&C 服务器部署的网站与官方网站完全相同,且该网站的下载链接是指向官方下载链接的。

结论

攻击者使用匿名通信软件来引诱受害者,并且通过知名的 YouTube 频道进行分发来增强可信度。攻击者还会收集大量的受害者信息,例如浏览器历史记录、社交网络账户、Wi-Fi 信息等。

攻击者不直接将攻击变现,有可能是走信息窃密类恶意软件的路子。当然,如果是一个不图钱的攻击者可能更加可怕。另外必须要说明的是,千万不要做违反国家相关反律法规的事情,千万不要做违反国家相关反律法规的事情,千万不要做违反国家相关反律法规的事情,重要的事情说三遍


点击阅读原文即可查看卡巴斯基原始分析文章。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐