流行的YouTube频道被抓获分发恶意Tor浏览器安装程序

一个流行的中文YouTube频道已经出现，作为一种分发Tor浏览器Windows安装程序特洛伊木马版的手段。

卡巴斯基为这场运动配音洋葱毒药, 所有受害者都在中国攻击的规模尚不清楚，但这家俄罗斯网络安全公司表示，它在2022年3月的遥测中发现了受害者。

Tor Browser安装程序的恶意版本是通过2022年1月9日上传到YouTube的视频描述中的链接发布的。截至目前，该视频已被浏览64500多次。

谷歌因违反YouTube的有害和危险政策，已将该视频从社交媒体平台上撤下。该视频的主播频道拥有18.1万用户，并声称其总部位于香港。

攻击的依据是Tor浏览器的实际网站在中国被屏蔽，从而欺骗了搜索“Tor”的毫无戒心的用户浏览器YouTube上的“Tor浏览器”（即Tor Browser中文版）有可能下载流氓变种。

点击链接将用户重定向到一个74MB的可执行文件，一旦安装，该文件将存储用户的浏览历史记录和输入网站表单的数据。

卡巴斯基研究人员列昂尼德·贝兹维尔申科和乔治·库切林说：“更重要的是，其中一个与恶意Tor浏览器捆绑的库感染了间谍软件，该软件收集各种个人数据并将其发送到命令和控制服务器”。

武器化的freebl3.dll库通过与远程服务器建立联系来实现这一点，远程服务器使用包含间谍软件的第二阶段有效载荷进行响应，但前提是受害者的IP地址来自中国。

间谍软件模块还提供了过滤已安装软件和正在运行的进程列表、浏览器历史记录、受害者的微信和QQ帐户ID的功能，以及在受害者机器上执行任意外壳命令。

命令和控制服务器（torbrowser[.]io）值得注意的是，它是原始Tor Browser网站的视觉副本，其下载链接指向合法的Tor Broowser门户。

此外，与其他信息窃取者不同，OnionPoison并非用于收集用户密码、会话Cookie或钱包数据。相反，这个想法似乎是通过受害者的浏览历史、社交网络帐户ID和Wi-Fi网络SSID来识别受害者。

这一发展与另一场运动相呼应，在YouTube上寻找作弊和破解的游戏玩家被引导到包含分发信息窃取者和加密货币矿工的恶意存档文件链接的视频。谷歌已经终止了被黑客入侵的频道。

在与《黑客新闻》分享的一份声明中，Tor项目表示，它已经发布了一个修复程序来解决这个问题，并指出修改后的浏览器版本的用户在请求更新时将被重定向到官方存储库。

该非营利组织表示：“基本上，这个‘中毒’的Tor浏览器会修改更新URL，因此无法正常更新”。“我们所做的是添加重定向以响应修改后的URL。这样，当人们更新此修改后的Tor浏览器时，他们会被重定向到官方更新URL”。

（故事经过修改，包括了谷歌和Tor项目的评论，并反映了有关视频已被删除的事实。）