idNSA.id - Peneliti Kaspersky menemukan bahwa versi trojan
dari Installer Windows untuk Tor Browser telah didistribusikan melalui saluran
YouTube berbahasa Mandarin yang populer.
Kampanye bernama OnionPoison menargetkan pengguna yang
berlokasi di China, tempat situs web Tor Browser diblokir. Pengguna di China
sering mencoba mengunduh browser Tor dari situs web pihak ketiga.
Dalam kampanye OnionPoison, Pelaku membagikan tautan ke malicious Installer Tor yang mempostingnya di saluran YouTube berbahasa Mandarin populer yang menyediakan info anonimitas di internet.
Saluran tersebut memiliki lebih dari 180.000 pelanggan dan
menurut Kaspersky, video dengan tautan berbahaya tersebut telah ditonton lebih
dari 64.000 kali pada saat ditemukan. Video itu diposting pada Januari 2022,
dan menurut telemetri Kaspersky, korban pertama dikompromikan pada Maret 2022.
Versi berbahaya dari Installer menginstal Tor Browser
berbahaya yang dikonfigurasi untuk mengekspos data pengguna, termasuk riwayat
penelusuran dan data yang dimasukkan ke dalam formulir situs web. Para ahli
juga menemukan bahwa library yang dibundel dengan Malicious Tor Browser terinfeksi
spyware.
“Lebih penting lagi, salah satu library yang dibundel dengan Malicious Tor Browser terinfeksi spyware yang
mengumpulkan berbagai data pribadi dan mengirimkannya ke server command and
control. Spyware juga menyediakan fungsionalitas untuk mengeksekusi command
shell pada mesin target, memberikan penyerang kendali atasnya.” membaca
analisis Kaspersky . “Kami memutuskan untuk menjuluki kampanye ini
'OnionPoison', menamainya setelah teknik
onion routing yang digunakan di Tor
Browser.”
Deskripsi video mencakup dua tautan, satu ke situs web Tor
Browser resmi, sementara yang lain menunjuk ke Installer maclicious Tor Browser
yang dihosting di cloud sharing service China.
Malicious Installer memiliki ukuran file 74,1 MB. Setelah
menjalankan Installer, Tor Browser yang berbahaya diinstal, ia memiliki UI yang
sama dengan Tor Browser asli. Malicious Installer tidak ditandatangani secara
digital dan juga menjatuhkan beberapa file yang berbeda dari yang dibundel
dengan installer asli.
“File freebl3.dll ada di installer Tor Browser asli; namun,
isinya sama sekali berbeda dari DLL di malicious installer” lanjut laporan
tersebut.
Para ahli memperhatikan bahwa payload tahap kedua yang berisi
spyware hanya disajikan kepada pengguna dari China.
Spyware mampu mengumpulkan informasi sistem dan mendukung
kemampuan eksfiltrasi data. Ia dapat mengambil daftar perangkat lunak yang
diinstal dan proses yang berjalan, riwayat Google Chrome dan Edge, ID akun
WeChat dan QQ korban, SSID dan alamat MAC jaringan Wi-Fi yang terhubung dengan
korban, dan juga memungkinkan operator untuk menjalankan perintah shell
sewenang-wenang pada mesin korban.
Para ahli percaya bahwa kampanye OnionPoison tidak
bermotivasi finansial karena pelaku tidak mengumpulkan kredensial atau wallet.
“Dalam kampanye ini, penyerang menggunakan perangkat lunak
anonimisasi untuk memikat target. Menempatkan tautan di saluran YouTube populer
membuat penginstal Tor Browser yang berbahaya tampak lebih sah bagi target
potensial.” menyimpulkan laporan. “Anehnya, tidak seperti pencuri biasa, implan
OnionPoison tidak secara otomatis mengumpulkan kata sandi, cookie, atau dompet
pengguna. Sebaliknya, mereka mengumpulkan data yang dapat digunakan untuk
mengidentifikasi para korban, seperti riwayat penelusuran, ID akun jejaring
sosial, dan jaringan Wi-Fi.”
