Популярный YouTube-канал распространяет вредоносную Windows-версию Tor

Екатерина Быстрова 05 Октября 2022 - 09:24

...

Популярный YouTube-канал распространяет вредоносную Windows-версию Tor

Популярный YouTube-канал с 181 тыс. подписчиков начал распространять вредоносный установочный файл Windows-версии Tor Browser. На кампанию обратили внимание специалисты «Лаборатории Касперского».

Исследователи назвали новую кибероперацию “OnionPoison“. Одна из жертв злоумышленников располагалась в Китае, впрочем, и сам злонамеренный YouTube-канал вещал на китайском языке.

Первые признаки этих атак Kaspersky обнаружила ещё в марте 2022 года. На данный момент оценить общий масштаб кампании нельзя. Известно, что киберпреступники подсовывают пользователям вредоносную версию Tor с помощью ссылки в описании к видеороликам.

Одно из таких видео, которое до сих пор доступно на площадке YouTube, загрузили на канал 9 января 2022 года и на текущий день число его просмотров насчитывает 64 500. Судя по описанию канала, его авторы располагаются в Гонконге.

Скорее всего, киберпреступники пользуются тем фактом, что Tor запрещён на территории Китая. Расчёт на то, что пользователи будут искать на YouTube инструкции по скачиванию знаменитого браузера, в результате чего попадут на ролики преступников.

По указанному в описаниях URL вас будет ждать исполняемый файл весом 74 МБ. После его установки все введённые в формы данные, а также история посещения веб-сайтов будут записываться и отправляться операторам.

По словам Kaspersky, «инсталяшка» также скрывает шпионский софт, задача которого — собирать персональные данные и отправлять их на командный сервер (C2). Интересно, кстати, что C2 (torbrowser[.]io) является копией официального сайта Tor Browser.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 22 Апреля 2026 - 11:50

Трояны Фишинг Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Geo Likho провела более 200 атак на российские организации за семь месяцев

Новая группировка Geo Likho действует уже около семи месяцев. Она специализируется на кибершпионаже, а её основными целями являются российские организации, хотя отдельные случаи активности фиксировались и в других странах. Одной из отличительных особенностей группы называют использование уникальных вредоносных инструментов под каждую конкретную цель.

О новой кибергруппировке сообщил ТАСС со ссылкой на «Лабораторию Касперского». По данным компании, Geo Likho специализируется на кибершпионаже и в ходе атак стремится как можно дольше оставаться незамеченной в инфраструктуре жертвы.

Активность группировки продолжается уже около семи месяцев.

«Действия группы характеризуются тщательной подготовкой и ориентацией на конкретные страны: за последние семь месяцев злоумышленники провели более 200 атак в России. В 2025 году наблюдались отдельные заражения в Германии, Сербии, Гонконге — скорее всего случайные, поскольку почти все фишинговые письма и файлы-приманки были написаны на русском языке», – рассказал эксперт по кибербезопасности в «Лаборатории Касперского» Алексей Шульмин.

Для первоначального проникновения в инфраструктуру группировка использует целевой фишинг. В письмах злоумышленники размещают ссылку на якобы документы. Переход по ней запускает скрипт и инициирует процесс заражения.

Основной интерес для атакующих представляют офисные документы и изображения, хранящиеся на локальных, сетевых и съёмных дисках. Кроме того, злоумышленников интересуют журналы системных событий и снимки экрана.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!