Navorsers van ESET verspreiding van 'n kwaadwillige Tor-blaaier wat deur onbekende aanvallers gebou is. Die vergadering is geposisioneer as die amptelike Russiese weergawe van Tor Browser, terwyl die skeppers daarvan niks met die Tor-projek te doen het nie, en die doel van die skepping daarvan was om Bitcoin- en QIWI-beursies te vervang.
Om gebruikers te mislei, het die skeppers van die vergadering die domeine tor-browser.org en torproect.org (anders as die amptelike torpro-webwerf) geregistreerJect.org deur die afwesigheid van die letter "J", wat deur baie Russiessprekende gebruikers onopgemerk bly). Die ontwerp van die webwerwe is gestileer om soos die amptelike Tor-webwerf te lyk. Die eerste webwerf het 'n bladsy vertoon met 'n waarskuwing oor die gebruik van 'n verouderde weergawe van Tor Browser en 'n voorstel om 'n opdatering te installeer (die skakel het gelei tot 'n samestelling met Trojaanse sagteware), en op die tweede was die inhoud dieselfde as die bladsy vir aflaai Tor-blaaier. Die kwaadwillige samestelling is slegs vir Windows geskep.
Sedert 2017 is die Trojaanse Tor-blaaier bevorder op verskeie Russiese-talige forums, in besprekings wat verband hou met die donkernet, kripto-geldeenhede, wat Roskomnadzor-blokkering en privaatheidskwessies omseil. Om die blaaier te versprei, het pastebin.com ook baie bladsye geskep wat geoptimaliseer is om in die top soekenjins te verskyn oor onderwerpe wat verband hou met verskeie onwettige bedrywighede, sensuur, die name van bekende politici, ens.
Bladsye wat 'n fiktiewe weergawe van die blaaier op pastebin.com adverteer, is meer as 500 duisend keer bekyk.
Die fiktiewe bou is gebaseer op die Tor Browser 7.5-kodebasis en, afgesien van ingeboude kwaadwillige funksies, was geringe aanpassings aan die User-Agent, die deaktivering van digitale handtekeningverifikasie vir byvoegings en die blokkering van die opdateringsinstallasiestelsel identies aan die amptelike Tor-blaaier. Die kwaadwillige invoeging het bestaan uit die heg van 'n inhoudhanteerder aan die standaard HTTPS Everywhere-byvoeging ('n bykomende script.js-skrip is by manifest.json gevoeg). Die oorblywende veranderinge is gemaak op die vlak van die aanpassing van die instellings, en alle binêre dele het van die amptelike Tor-blaaier gebly.
Die skrip wat in HTTPS Everywhere geïntegreer is, het met die opening van elke bladsy die beheerbediener gekontak, wat JavaScript-kode teruggestuur het wat in die konteks van die huidige bladsy uitgevoer moet word. Die beheerbediener het as 'n versteekte Tor-diens gefunksioneer. Deur JavaScript-kode uit te voer, kan aanvallers die inhoud van webvorms onderskep, arbitrêre elemente op bladsye vervang of versteek, fiktiewe boodskappe vertoon, ens. Wanneer die kwaadwillige kode egter ontleed is, is slegs die kode vir die vervanging van QIWI-besonderhede en Bitcoin-beursies op betalingsaanvaardingsbladsye op die donkernet aangeteken. Tydens die kwaadwillige aktiwiteit is 4.8 Bitcoins opgehoop op die beursies wat vir vervanging gebruik word, wat ooreenstem met ongeveer 40 duisend dollar.
Bron: opennet.ru