動画の説明欄に設置された、悪意のあるTorブラウザーのインストーラーへのリンク(赤枠部分)
カスペルスキーは、登録者数18万人超のYouTubeチャンネルで、動画の説明欄を介してマルウェアを拡散する攻撃活動が行われていることを確認したとして情報を公開した。
同社は、当該の動画および説明欄のスクリーンショットもあわせて公開。ダークネットに関する話題を扱った動画の説明欄に悪意のあるTorブラウザーのインストーラーへのリンクが設置されており、同動画の再生数は6万4000回を超えているという。
カスペルスキーの調査チームの解析によると、同ブラウザーは正規のTorブラウザーよりもプライバシー設定が低く、閲覧履歴とウェブサイトのフォームに入力する全てのデータが保存されるという。また、同ブラウザーにバンドルされているライブラリの1つがスパイウェアに感染しており、個人データを収集してサイバー犯罪者の指令サーバーに送信したり、外部からPCを制御される可能性がある。調査チームは、この攻撃手法を「OnionPoison」と名付けている。
多くの情報窃取型マルウェアがユーザーのパスワードやウォレット情報を収集するのに対し、OnionPoisonは、ウェブブラウザーの閲覧履歴、SNSのアカウント情報、Wi-Fiネットワークなど、被害者の身元を追跡するために使われる情報を収集するという。これらの情報が悪用されることで、「リスクがデジタルの世界だけでなく実際の生活にも及ぶ」としており、過去には、サイバー犯罪者が取得した情報を使用して被害者を脅迫するケースもあったとしている。
悪意のあるTorブラウザーのインストーラーのダウンロードページ
この攻撃の標的となった被害者の多くが、中国のIPアドレスを持つPCだったという。中国ではTorブラウザーのウェブサイトがブロックされており、多くの個人ユーザーは正規ではない第三者のウェブサイトからダウンロードしようとするため、サイバー犯罪者はこのような状況を利用していると、カスペルスキーは指摘している。
このような悪意ある攻撃を回避するために、疑わしい第三者のウェブサイトからはソフトウェアをダウンロードせず、信頼できるセキュリティソリューションを利用することを同社では推奨。公式サイトが使用できない場合は、第三者のソースからダウンロードしたインストーラーのデジタル署名を調べることで、真正性を確認できるとしている。
