OnionPoison: Virüslü Tor Browser yükleyicisi, popüler YouTube kanalı aracılığıyla dağıtılıyor

Kaspersky araştırmacıları, kısa süre önce, 180 binden fazla abonesi olan  bir YouTube kanalı aracılığıyla dağıtılan kötü niyetli bir kampanyayı ortaya çıkardı. Siber suçlular, Darknet ile ilgili bir videonun açıklamasına Tor Browser'ın virüslü sürümünün bağlantısını yerleştirerek kullanıcıların kişisel verilerini toplamak ve kurbanların bilgisayarları üzerinde tam kontrol elde etmek için kötü amaçlı yazılım yayma girişiminde bulundu.

Kaspersky araştırmacıları, YouTube üzerinde yayınlanan Darknet hakkında açıklayıcı bir video aracılığıyla yayılan kötü amaçlı Tor Browser yükleyicilerinin rol aldığı birden fazla bulaşma vakası tespit etti. Söz konusu kanalın 180 binden fazla abonesi bulunurken, kötü amaçlı bağlantıya sahip videonun izlenme sayısı 64 bini aştı.

Etkilenen kullanıcıların çoğu Çin'dendi. Tor Browser web sitesi Çin'de engellendiğinden, Çinli kullanıcılar kişiler genellikle Tor'u üçüncü parti web sitelerinden indirmeye çalışıyor. Siber suçluların kötü niyetli faaliyetlerini bu tür kaynaklar aracılığıyla yaymaya oldukça hevesli oldukları da bilinen bir gerçek.

Orijinal Tor'dan daha az gizliliğe sahip olacak şekilde yapılandırılan Tor Browser'ın analiz edilen sürümü,  tarama geçmişini ve kullanıcının web sitesi formlarına girdiği tüm verileri depoluyor. Ayrıca çeşitli kişisel verileri toplamak ve saldırganların sunucusuna göndermek için farklı casus yazılımlar da dağıtıyor. İlginçtir ki diğer birçok saldırganın aksine OnionPoison, kullanıcıların şifrelerini veya finansal bilgilerini toplamaya özel bir ilgi göstermiyormuş gibi görünüyor. Bunun yerine tarama geçmişi, sosyal ağ hesap kimlikleri ve Wi-Fi ağ adlı gibi mağdurların kimliklerine dair bilgileri toplamakla daha fazla ilgilenme eğiliminde.

Bu durum aslında oldukça endişe verici. Çünkü böylece risklerin siber dünyadan gerçek hayata geçmesi ihtimali artıyor. Saldırganlar bu yolla kurbanın kişisel hayatı, ailesi veya ev adresi hakkında bilgi toplayabiliyor. Ayrıca saldırganın elde ettiği bilgileri kurbana şantaj yapmak için kullandığı durumlar da söz konusu. Casus yazılım ayrıca bulaştığı cihazda shell komutları yürütme işlevine de sahip.

Kaspersky Güvenlik Uzmanı Georgy Kucherin, şunları söylüyor: “Günümüzde video platformları arama motoru olarak daha sık kullanılırken, video içeriğinin metinlerin yerini aldığına tanık oluyoruz. Siber suçlular mevcut web tüketim trendlerinin gayet farkındalar, bu nedenle popüler video platformlarında kötü amaçlı yazılımlar dağıtmaya başladılar. Bu eğilim bir süre daha hayatımızda yer alacak. Bu nedenle tüm potansiyel tehditlere karşı kendinizi korumak için güvenilir bir güvenlik çözümü kurmanızı şiddetle tavsiye ediyoruz.” 

Benzer bir kötü amaçlı yazılımların neden olabileceği riskleri azaltmak için şüpheli üçüncü parti web sitelerinden yazılım indirmeyin. Bir nedenle resmi web sitelerine ulaşamıyorsanız, üçüncü parti kaynaklardan indirilen yükleyicilerin orijinalliğini dijital imzalarını inceleyerek doğrulamak mümkündür. Yasal bir yükleyicinin geçerli bir imzası olmalı ve sertifikasında belirtilen şirket adı, yazılım geliştiricinin adıyla eşleşmelidir.