OnionPoison – Bilgisayar Korsanları Kötü Amaçlı Tor Tarayıcı Yükleyicisini Ünlü YouTube Kanalı Aracılığıyla Dağıtıyor

Kaspersky Lab'deki siber güvenlik uzmanları, Tor Web Tarayıcısı için Windows yükleyicinin şifreli bir sürümünün ünlü bir Çin YouTube kanalı aracılığıyla dağıtıldığını tespit etti.

Bu kötü niyetli kampanya, Kaspersky'deki güvenlik uzmanları tarafından "OnionPoison" olarak adlandırıldı. Bu kampanya, tehdit aktörleri yalnızca Çin'den gelen kurbanları hedef aldığı için Çin'de yaşayan çok sayıda insanı etkilemiştir.

Mart 2022'de Kaspersky Lab, kurbanların telemetri kanıtlarını tespit etti.

Kötü Amaçlı YouTube Kanalı

Bir videonun açıklamasında, kötü amaçlı Tor Browser yükleyicisine bir bağlantı bulunur ve bu da kötü amaçlı yazılımın indirilmesine yol açar. 9 Ocak 2022'de bu video tehdit aktörleri tarafından YouTube'a yüklendi.

Şimdiye kadar video YouTube'da 64.500'den fazla görüntüleme aldı ve videonun yüklendiği kanalın 181.000 abonesi var. Bunun dışında güvenlik uzmanları, bu kötü niyetli YouTube kanalının Hong Kong merkezli olduğunu iddia etti.

Bu saldırının arkasındaki başlıca neden, Çin'deki Tor web tarayıcısının yasaklanmasıdır. Bu nedenle, tehdit aktörleri YouTube'u, video paylaşım web sitesinde aradıklarında şüpheli olmayan kullanıcıları Tor Tarayıcı'nın ("Tor浏览器") sahte varyantını indirmeleri için kandırmak için bir araç olarak kullanır.

OnionPoison Zinciri

Video, videonun açıklamasında bulunabilecek iki bağlantı içerir. İlk bağlantı, kullanıcıyı Tor Tarayıcı'nın resmi web sitesine yönlendirir. Öte yandan, ikinci bağlantı kullanıcıları kötü amaçlı bir Tor Browser yükleyici yürütülebilir dosyasına (74MB) yönlendirir.

Tor tarayıcısı Çin'de yasaklandığından, kullanıcıların Tor tarayıcısının kötü amaçlı sürümünü indirmelerini sağlamak için tehdit aktörleri, kullanıcıları bu sahte sürümü barındırdıkları bir Çin bulut paylaşım hizmetine yönlendirir.

Bu kötü amaçlı yürütülebilir yükleyici, kullanıcının virüslü sisteminde aşağıdakileri yapmak için tasarlanmıştır:

• Tarama geçmişini depolama
• Diskteki sayfaların önbelleğe alınmasını etkinleştirme
• Otomatik form doldurmayı ve oturum açma verilerinin ezberlenmesini etkinleştirme
• Web siteleri için ek oturum verilerini depolama

Bu, kötü amaçlı freebl3.dll kitaplığının, sisteme uzak bir sunucuyla bağlantı kurulduktan sonra geri alınan casus yazılımları içeren bir yük bulaştırmasıyla sağlanır.

Tek koşul, saldırının başarılı olması için kurbanın IP adresinin Çin'den gelmesi gerektiğidir. Ek olarak, casus yazılım modülünün aşağıdaki verileri sızdırma olasılığı vardır:

• Yüklü yazılımların listesi
• Çalışan işlemlerin listesi
• Google Chrome ve Edge geçmişi
• Wi-Fi ağlarının SSID'leri ve MAC adresleri
• Kurbanların WeChat hesap kimlikleri
• Kurbanların QQ hesap kimlikleri

Burada en şaşırtıcı şey, kötü niyetli C&C'nin (torbrowser[.]io) Tor Browser'ın orijinal web sitesinin tam bir kopyası olmasıdır. Sahte web sitesinde bulunan indirme bağlantıları, kullanıcıları Tor Browser'ın orijinal web sitesine götürür.

Ayrıca bu kampanya sırasında tehdit aktörleri, anonimleştirme yazılımları kullanarak hedeflerini cezbetmiştir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.