其他
“中毒”的洋葱浏览器专门收集中国用户的上网历史和位置信息
关注我们
带你读懂网络安全
网络安全公司卡巴斯基(Kaspersky)的研究人员10月4日表示,修改后的Tor Browser至少从今年3月开始收集中国用户的敏感数据,最早可能是追溯到今年1月,其中包括浏览历史、表单数据、计算机名和位置、用户名和网卡MAC地址。发布在YouTube中文频道上的一段视频包含Tor浏览器安装程序恶意版本的链接。卡巴斯基的研究人员列昂尼德·贝兹维尔申科和乔治·库切林在本周二(4日)公布的研究结果中说,该频道有18万多订阅者,视频被观看了6.4万多次。一个YouTube账号于2022年1月上传了这段视频,卡巴斯基的研究人员在注意到Tor安装程序的恶意下载集群后,于3月开始在他们的数据中发现受害者。研究人员将这一行动称为“洋葱毒药”(OnionPoison),指的是由美国海军研究实验室(U.S. Naval Research Lab)最初开发的合法洋葱浏览器(Tor Browser)采用的多步洋葱路由,它既具有名称(“洋葱路由器”),又具有典型的匿名程度。研究人员表示,恶意安装程序会加载一个Tor版本,其中包含一个旨在收集个人数据的间谍软件库,并将其发送到攻击者控制的服务器,还可以让攻击者能够在受害者的机器上执行shell命令。非营利组织Tor Project的执行董事伊莎贝拉·费尔南德斯告诉CyberScoop,该组织在4日部署了一个补丁。“基本上,这个‘中毒’的Tor浏览器修改了更新URL,因此无法正常更新,”她说。“我们所做的是添加一个重定向,这样我们就会对修改后的URL进行响应,这样人们就会更新。现在他们的URL是一个有效的更新URL。”研究人员说,目前还不清楚谁是幕后黑手,但它显然是针对中国用户的。他们说,命令和控制服务器会检查IP地址,只会向中国的IP发送恶意软件。此外,视频描述包括一个有效的Tor浏览器链接,但由于Tor网站在中国被屏蔽,用户更有可能点击链接,指向一个托管在第三方中国云共享网站上的可下载文件。
不管威胁行为者的动机如何,避免感染OnionPoison植入物的最佳方法是始终从官方网站下载软件。如果这不是一个选项,请通过检查从第三方来源下载的安装程序的数字签名来验证其真实性。合法的安装程序应具有有效的签名,并且其证书中指定的公司名称应与软件开发人员的名称匹配。
参考资源
1、https://www.cyberscoop.com/modified-tor-browser-chinese-targeting/
2、https://securelist.com/onionpoison-infected-tor-browser-installer-youtube/107627/
推荐阅读
文章来源:网空闲话
点击下方卡片关注我们,带你一起读懂网络安全 ↓