カスペルスキー、悪意のあるTorブラウザーインストーラーが人気YouTubeチャンネルを介して拡散していることを確認
- 2022/10/17 10:00
- SecurityInsight
カスペルスキーは10月13日、同社の調査チームが、登録者数18万人を超えるYouTubeチャンネルを介して悪意のある攻撃活動が行なわれていることを発見したと発表した。その概要は以下のとおり。
調査チームは、YouTube上のダークネットに関する動画の説明欄に設置されていた、マルウェアが隠されたTorブラウザーのインストーラーへのリンクを見つけ、そこから感染した複数の事例を特定した。
このYouTubeチャンネルの登録者数は18万人を超えており、悪意のあるリンクが配置された動画の再生回数は2022年1月に投稿されてから現在までに6万4,000回を超えている。調査チームは、匿名性が特徴のTorブラウザーで使われている暗号化通信方式オニオンルーティングから、この攻撃活動を「OnionPoison」と名付けた。
この感染の試みに遭遇した大半は、中国のIPアドレスを持つコンピューターだった。中国ではTorブラウザーのWebサイトがブロックされアクセスできないため、多くの個人ユーザーは正規ではない第三者のWebサイトからダウンロードしようとする。このような状況を利用し、サイバー犯罪者は悪意のある活動を拡散することに注力している。
今回調査チームが解析した悪意のあるTorブラウザーのバージョンは、正規のTorブラウザーよりプライバシー設定が低く、閲覧履歴とWebサイトのフォームに入力する全てのデータが保存される。また、このTorブラウザーにバンドルされているライブラリーの一つがスパイウェアに感染しており、さまざまな個人データを収集してサイバー犯罪者の指令サーバーに送信する。
多くの情報窃取型マルウェアとは異なり、OnionPoisonの攻撃活動はユーザーのパスワードやウォレット情報ではなく、被害者の身元を判別できるような情報を収集する。これらの情報は、ブラウザー閲覧履歴、ソーシャルネットワークのアカウントID、Wi-Fiネットワークなど、被害者の身元情報を追跡するために使用される。
また、このスパイウェアには、感染させたコンピューター上でシェルコマンドを実行する機能を備えており、サイバー犯罪者が被害者のコンピューターを制御することが可能になる。