YouTube-канал об анонимности собирал данные пользователей с помощью шпионской программы
Специалисты «Лаборатории Касперского» обнаружили популярный YouTube-канал на китайском языке, распространяющий зараженный установщик браузера Tor. Исследователи назвали эту кампанию OnionPoison.
Поскольку официальный сайт с установщиком браузера Tor заблокирован в Китае, жители КНР часто используют для этого сторонние ресурсы. В данном случае ссылка на вредоносный установщик была обнаружена на популярном китайскоязычном YouTube-канале, посвященном анонимности в интернете. Канал насчитывает более 180 тыс. подписчиков, а количество просмотров видео с вредоносной ссылкой превышает 64 тыс. Ролик был опубликован в январе 2022 года, а первые жертвы кампании начали отображаться в телеметрии в марте 2022 года. Google уже удалила видео за нарушение правил YouTube.
Согласно исследованию, зараженная версия браузера сохраняла всю историю посещения сайтов и данные, вводимые в формы. При этом одна из библиотек в пакете была заражена шпионским ПО, которое крадет персональные данные пользователей и отправляло их на управляющий сервер злоумышленников. Зловред также позволял злоумышленникам получать контроль над зараженным компьютером и выполнять shell-команды. Среди данных, которые могли похищать злоумышленники также значатся история браузеров Chrome и Edge, идентификаторы учетных записей WeChat и QQ, а также SSID и MAC-адреса Wi-Fi-сетей.
Отмечается, что модули OnionPoison при этом не занимались автоматической кражей паролей или данных кошельков пользователей. Вместо этого они получали данные, которые позволяют узнать информацию о личности жертвы. Предполагается, что таким образом злоумышленники искали признаки незаконной деятельности у жертв с целью дальнейшего шантажа.
Ранее «Газета.Ru» рассказывала, что хакера-миллионера посадили в тюрьму на 20 лет.