“中毒”的洋葱浏览器专门收集中国用户的上网历史和位置信息

网络安全公司卡巴斯基(Kaspersky)的研究人员10月4日表示，修改后的Tor Browser至少从今年3月开始收集中国用户的敏感数据，最早可能是追溯到今年1月，其中包括浏览历史、表单数据、计算机名和位置、用户名和网卡MAC地址。

发布在YouTube中文频道上的一段视频包含Tor浏览器安装程序恶意版本的链接。卡巴斯基的研究人员列昂尼德·贝兹维尔申科和乔治·库切林在本周二（4日）公布的研究结果中说，该频道有18万多订阅者，视频被观看了6.4万多次。

一个YouTube账号于2022年1月上传了这段视频，卡巴斯基的研究人员在注意到Tor安装程序的恶意下载集群后，于3月开始在他们的数据中发现受害者。

研究人员将这一行动称为“洋葱毒药”(OnionPoison)，指的是由美国海军研究实验室(U.S. Naval Research Lab)最初开发的合法洋葱浏览器(Tor Browser)采用的多步洋葱路由，它既具有名称(“洋葱路由器”)，又具有典型的匿名程度。

研究人员表示，恶意安装程序会加载一个Tor版本，其中包含一个旨在收集个人数据的间谍软件库，并将其发送到攻击者控制的服务器，还可以让攻击者能够在受害者的机器上执行shell命令。

非营利组织Tor Project的执行董事伊莎贝拉·费尔南德斯告诉CyberScoop，该组织在4日部署了一个补丁。

“基本上，这个‘中毒’的Tor浏览器修改了更新URL，因此无法正常更新，”她说。“我们所做的是添加一个重定向，这样我们就会对修改后的URL进行响应，这样人们就会更新。现在他们的URL是一个有效的更新URL。”

研究人员说，目前还不清楚谁是幕后黑手，但它显然是针对中国用户的。他们说，命令和控制服务器会检查IP地址，只会向中国的IP发送恶意软件。此外，视频描述包括一个有效的Tor浏览器链接，但由于Tor网站在中国被屏蔽，用户更有可能点击链接，指向一个托管在第三方中国云共享网站上的可下载文件。

包含恶意Tor浏览器下载链接的视频截图(卡巴斯基)

有趣的是，修改后的浏览器不会自动收集用户密码、cookie或钱包，研究人员说，而是专注于浏览历史、社交网络账户id和Wi-Fi网络。

“攻击者可以搜索被窃取的浏览器历史记录，寻找非法活动的痕迹，通过社交网络联系受害者，并威胁要向当局举报，”研究人员写道。

修改后的Tor版本过去曾被网络犯罪分子和民族国家黑客部署过。2019年，斯洛伐克网络安全公司ESET的研究人员报告了一种旨在从讲俄语的人那里窃取加密货币的版本。在近10年前的另一个例子中，与俄罗斯有关联的黑客利用Tor出口节点部署了名为“洋葱公爵”(OnionDuke)的恶意软件。

FBI还被指控与承包商和潜在的大学生合作，修改或揭露Tor用户(后一种说法FBI当时含糊地否认了)。

研究人员总结称，在此活动中，攻击者使用匿名软件来引诱目标。在流行的 YouTube频道上放置链接会使恶意 Tor 浏览器安装程序在潜在目标看来更加合法。奇怪的是，与常见的窃取程序不同，OnionPoison植入程序不会自动收集用户口令、cookie 或钱包。相反，他们收集可用于识别受害者的数据，例如浏览历史、社交网络帐户ID和 Wi-Fi网络。攻击者可以搜索泄露的浏览器历史记录以寻找非法活动的痕迹，通过社交网络联系受害者并威胁要向当局报告。过去，我们还看到执法机构（例如 BI）使用0-day 来揭露Tor用户身份的案例涉及暗网恋童癖网站。另一个类似的案例涉及通过注入 TOR 出口节点上未加密的HTTP连接来分发OnionDuke恶意软件。

不管威胁行为者的动机如何，避免感染OnionPoison植入物的最佳方法是始终从官方网站下载软件。如果这不是一个选项，请通过检查从第三方来源下载的安装程序的数字签名来验证其真实性。合法的安装程序应具有有效的签名，并且其证书中指定的公司名称应与软件开发人员的名称匹配。

参考资源

1、https://www.cyberscoop.com/modified-tor-browser-chinese-targeting/

2、https://securelist.com/onionpoison-infected-tor-browser-installer-youtube/107627/

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。