باحثون من شركة ESET توزيع متصفح Tor ضار تم إنشاؤه بواسطة مهاجمين غير معروفين. تم وضع التجميع باعتباره النسخة الروسية الرسمية من متصفح Tor، في حين أن منشئيه لا علاقة لهم بمشروع Tor، وكان الغرض من إنشائه هو استبدال محافظ Bitcoin و QIWI.
لتضليل المستخدمين، قام منشئو التجميع بتسجيل النطاقين tor-browser.org وtorproect.org (يختلفان عن موقع torpro الرسميJect.org بسبب غياب الحرف "J"، والذي يمر دون أن يلاحظه أحد من قبل العديد من المستخدمين الناطقين بالروسية). تم تصميم المواقع لتشبه موقع Tor الرسمي. عرض الموقع الأول صفحة تحتوي على تحذير بشأن استخدام إصدار قديم من متصفح Tor واقتراح لتثبيت تحديث (أدى الرابط إلى التجميع مع برنامج طروادة)، وفي الثاني كان المحتوى هو نفس صفحة التنزيل متصفح تور. تم إنشاء التجميع الضار لنظام التشغيل Windows فقط.
منذ عام 2017، تم الترويج لمتصفح Trojan Tor في العديد من المنتديات باللغة الروسية، في المناقشات المتعلقة بالشبكة المظلمة والعملات المشفرة، وتجاوز حظر Roskomnadzor وقضايا الخصوصية. لتوزيع المتصفح، أنشأ موقع Pastebin.com أيضًا العديد من الصفحات المُحسّنة للظهور في أفضل محركات البحث حول موضوعات تتعلق بمختلف العمليات غير القانونية والرقابة وأسماء السياسيين المشهورين وما إلى ذلك.
تمت مشاهدة الصفحات التي تعلن عن نسخة وهمية من المتصفح على موقع Pastebin.com أكثر من 500 ألف مرة.
اعتمد البناء الوهمي على قاعدة بيانات Tor Browser 7.5، وبصرف النظر عن الوظائف الضارة المضمنة، كانت التعديلات الطفيفة على وكيل المستخدم، وتعطيل التحقق من التوقيع الرقمي للوظائف الإضافية، وحظر نظام تثبيت التحديث، مطابقة للإصدار الرسمي. متصفح تور. يتألف الإدراج الضار من إرفاق معالج محتوى بالوظيفة الإضافية القياسية HTTPS Everywhere (تمت إضافة نص نصي إضافي script.js إلى البيان.json). تم إجراء التغييرات المتبقية على مستوى ضبط الإعدادات، وبقيت جميع الأجزاء الثنائية من متصفح Tor الرسمي.
البرنامج النصي المدمج في HTTPS Everywhere، عند فتح كل صفحة، اتصل بخادم التحكم، الذي أعاد كود JavaScript الذي يجب تنفيذه في سياق الصفحة الحالية. يعمل خادم التحكم كخدمة Tor مخفية. من خلال تنفيذ تعليمات برمجية JavaScript، يمكن للمهاجمين اعتراض محتوى نماذج الويب، واستبدال أو إخفاء عناصر عشوائية على الصفحات، وعرض رسائل وهمية، وما إلى ذلك. ومع ذلك، عند تحليل التعليمات البرمجية الضارة، تم تسجيل فقط التعليمات البرمجية الخاصة باستبدال تفاصيل QIWI ومحافظ Bitcoin على صفحات قبول الدفع على الشبكة المظلمة. خلال النشاط الخبيث، تم تجميع 4.8 بيتكوين على المحافظ المستخدمة في الانتحال، وهو ما يعادل حوالي 40 ألف دولار.
المصدر: opennet.ru