ظهرت قناة يوتيوب شعبية باللغة الصينية كوسيلة لتوزيع نسخة طروادة من برنامج تثبيت Windows لمتصفح Tor.
أطلقت كاسبيرسكي على الحملة اسم OnionPoison، مع وجود جميع الضحايا في الصين. لا يزال حجم الهجوم غير واضح، لكن شركة الأمن السيبراني الروسية قالت إنها رصدت ظهور ضحايا في القياس عن بعد في مارس 2022.
يتم توزيع الإصدار الخبيث من مثبت Tor Browser عبر رابط موجود في وصف مقطع فيديو تم تحميله على YouTube في 9 يناير 2022. وقد تمت مشاهدته أكثر من 64500 مرة حتى الآن.
القناة التي تستضيف الفيديو لديها 181000 مشترك وتزعم أن مقرها في هونغ كونغ. لا يزال الفيديو متاحًا للمشاهدة على منصة التواصل الاجتماعي حتى وقت كتابة هذا التقرير.
يعتمد الهجوم على حقيقة أن موقع Tor Browser الفعلي محجوب في الصين، وبالتالي يخدع المستخدمين المطمئنين الذين يبحثون عن "Tor 浏览 器" (أي متصفح Tor باللغة الصينية) على YouTube لاحتمال تنزيل المتغير المحتال.
يؤدي النقر فوق الرابط إلى إعادة توجيه المستخدم إلى ملف تنفيذي بحجم 74 ميجا بايت، والذي تم تصميمه بمجرد تثبيته لتخزين محفوظات استعراض المستخدمين والبيانات التي تم إدخالها في نماذج مواقع الويب.
وقال باحثان في كاسبيرسكي: "الأهم من ذلك، أن إحدى المكتبات المرفقة بمتصفح Tor الخبيث مصابة ببرامج تجسس تجمع بيانات شخصية مختلفة وترسلها إلى خادم تحكم وتحكم".
تحويل كودإخفاء محول الأكواد الإبتساماتإخفاء