Une chaîne YouTube populaire en langue chinoise est apparue comme un moyen de distribuer une version cheval de Troie d’un programme d’installation Windows pour le navigateur Tor.
Kaspersky doublé la campagne OignonPoison, avec toutes les victimes situées en Chine. L’ampleur de l’attaque reste incertaine, mais la société russe de cybersécurité a déclaré avoir détecté des victimes apparaissant dans sa télémétrie en mars 2022.
La version malveillante du programme d’installation de Tor Browser est distribuée via un lien présent dans la description d’une vidéo qui a été téléchargée sur YouTube le 9 janvier 2022. Elle a été visionnée plus de 64 500 fois à ce jour.
La chaîne hébergeant la vidéo compte 181 000 abonnés et prétend être basée à Hong Kong. La vidéo est toujours disponible pour être visionnée sur la plateforme de médias sociaux au moment de la rédaction.
L’attaque repose sur le fait que le site Web actuel du navigateur Tor est bloqué en Chine, incitant ainsi les utilisateurs peu méfiants à la recherche de « Tor浏览器 » (c’est-à-dire, le navigateur Tor en chinois) sur YouTube à télécharger potentiellement la variante malveillante.
Cliquer sur le lien redirige l’utilisateur vers un exécutable de 74 Mo qui, une fois installé, est conçu pour stocker l’historique de navigation des utilisateurs et les données saisies dans les formulaires du site Web.
« Plus important encore, l’une des bibliothèques fournies avec le navigateur Tor malveillant est infectée par un logiciel espion qui collecte diverses données personnelles et les envoie à un serveur de commande et de contrôle », ont déclaré les chercheurs de Kaspersky Leonid Bezvershenko et Georgy Kucherin.
La bibliothèque malveillante freebl3.dll y parvient en établissant un contact avec un serveur distant qui répond avec une charge utile de deuxième étape contenant le logiciel espion, mais uniquement lorsque l’adresse IP de la victime provient de Chine.
Le module de logiciel espion fournit en outre la fonctionnalité d’exfiltrer une liste des logiciels installés et des processus en cours d’exécution, des historiques de navigateur, des identifiants de compte WeChat et QQ des victimes, en plus d’exécuter des commandes shell arbitraires sur la machine victime.
Ce qui est remarquable à propos du serveur de commande et de contrôle (torbrowser[.]io) est qu’il s’agit d’une réplique visuelle du site Web original du navigateur Tor et que ses liens de téléchargement mènent au site Web légitime du navigateur Tor.
Le développement fait écho à une autre campagne dans laquelle les joueurs à la recherche de tricheurs et de cracks sur YouTube sont dirigés vers des vidéos contenant des liens vers un fichier d’archive malveillant distribuant des voleurs d’informations et des mineurs de crypto. Google a depuis mis fin aux chaînes piratées.
The Hacker News a contacté le géant de l’Internet pour obtenir des commentaires sur les dernières découvertes, et nous mettrons à jour l’histoire si nous avons des nouvelles.