Kasperskyの調査チームは、登録者数18万人を超えるYouTubeチャンネルを介して、悪意のある攻撃活動を発見したと発表した。
調査チームは、YouTube上のダークネットに関する動画の説明欄に設置されていたマルウェアが、隠されたTorブラウザーのインストーラへのリンクを見つけ、そこから感染した複数の事例を特定したという。
このYouTubetチャンネルの登録者数は18万人を超えており、悪意のあるリンクが配置された動画の再生回数は2022年1月に投稿されてから現在までに6万4,000回を超えているとのこと。調査チームは、匿名性が特長のTorブラウザで使われている暗号化通信方式オニオンルーティングから、この攻撃活動を「OnionPoison」と命名。
なお、これに遭遇した大半は中国のIPアドレスを持つコンピュータだったという。中国ではTorブラウザのWebサイトがブロックされアクセスできないため、多くの個人ユーザーは正規ではない第三者のWebサイトからダウンロードを試みるとのこと。このような状況を利用し、サイバー犯罪者は悪意のある活動を拡散しているという。
今回調査チームが解析した悪意のあるTorブラウザのバージョンは、正規のTorブラウザよりプライバシー設定が低く、閲覧履歴とWebサイトのフォームに入力するすべてのデータが保存されるとのこと。
さらに、このTorブラウザにバンドルされているライブラリの一つがスパイウェアに感染しており、様々な個人データを収集してサイバー犯罪者の指令サーバに送信するという。また、多くの情報窃取型マルウェアとは異なり、OnionPoisonの攻撃活動はユーザーのパスワードやウォレット情報ではなく、被害者の身元を判別できるような情報を収集する。これらの情報は、ブラウザー閲覧履歴、ソーシャルネットワークのアカウントID、Wi-Fiネットワークなど、被害者の身元情報を追跡するために使用されるとしている。
これによりサイバー犯罪者は、被害者の私生活、家族や自宅の住所などの情報収集が可能に。取得した情報を使用して被害者を脅迫するケースもあったとのこと。
さらにこのスパイウェアには、感染させたコンピュータ上でシェルコマンドを実行する機能を備えており、サイバー犯罪者が被害者のコンピュータを制御することが可能だとしている。
【関連記事】
・カスペルスキー、自社製品のセキュリティ保証のためのトランスペアレンシーセンターを日本に開設
・カスペルスキー、Rustを用いたマルウェアを展開する新たな攻撃グループを発見
・米国安全保障のセキュリティ脅威認定に異議 カスペルスキーが声明を発表
