ESET tədqiqatçıları naməlum təcavüzkarlar tərəfindən qurulmuş zərərli Tor Brauzerinin paylanması. Assambleya Tor Brauzerinin rəsmi rus versiyası kimi yerləşdirilib, onun yaradıcılarının Tor layihəsi ilə heç bir əlaqəsi yoxdur və onun yaradılmasında məqsəd Bitcoin və QIWI cüzdanlarını əvəz etmək idi.
İstifadəçiləri çaşdırmaq üçün məclisin yaradıcıları tor-browser.org və torproect.org (rəsmi torpro saytından fərqli) domenlərini qeydiyyatdan keçirdilər.Ject.org, bir çox rusdilli istifadəçilər tərəfindən nəzərə alınmayan "J" hərfinin olmaması ilə). Saytların dizaynı rəsmi Tor veb saytına bənzəmək üçün stilizə edilmişdir. Birinci saytda Tor Brauzerinin köhnəlmiş versiyasından istifadə barədə xəbərdarlıq və yeniləmənin quraşdırılması təklifi (link Trojan proqramı ilə yığılmağa səbəb oldu), ikincisində isə məzmun yükləmə səhifəsi ilə eyni idi. Tor brauzeri. Zərərli məclis yalnız Windows üçün yaradılmışdır.
2017-ci ildən bəri Trojan Tor Brauzeri müxtəlif rusdilli forumlarda, Darknet, kriptovalyutalarla bağlı müzakirələrdə, Roskomnadzorun bloklanması və məxfilik məsələlərindən yan keçməklə təbliğ olunur. Brauzeri yaymaq üçün pastebin.com həmçinin müxtəlif qanunsuz əməliyyatlar, senzura, məşhur siyasətçilərin adları və s. ilə bağlı mövzularda ən yaxşı axtarış sistemlərində görünmək üçün optimallaşdırılmış bir çox səhifələr yaratdı.
Pastebin.com saytında brauzerin uydurma versiyasını reklam edən səhifələrə 500 min dəfədən çox baxılıb.
Uydurma quruluş Tor Browser 7.5 kod bazasına əsaslanırdı və daxili zərərli funksiyalardan başqa, İstifadəçi-Agentdə kiçik düzəlişlər, əlavələr üçün rəqəmsal imzanın yoxlanılmasının dayandırılması və yeniləmə quraşdırma sisteminin bloklanması rəsmi ilə eyni idi. Tor brauzeri. Zərərli daxiletmə standart HTTPS Everywhere əlavəsinə məzmun işləyicisini əlavə etməkdən ibarət idi (manifest.json-a əlavə script.js skripti əlavə edildi). Qalan dəyişikliklər parametrlərin tənzimlənməsi səviyyəsində edildi və bütün ikili hissələr rəsmi Tor Brauzerindən qaldı.
Hər yerdə HTTPS-ə inteqrasiya olunmuş skript, hər səhifəni açarkən, cari səhifənin kontekstində yerinə yetirilməli olan JavaScript kodunu qaytaran nəzarət serveri ilə əlaqə saxladı. İdarəetmə serveri gizli Tor xidməti kimi fəaliyyət göstərirdi. JavaScript kodunu icra etməklə təcavüzkarlar veb formaların məzmununu ələ keçirə, səhifələrdə ixtiyari elementləri əvəz edə və ya gizlədə, uydurma mesajlar göstərə və s. Bununla belə, zərərli kodu təhlil edərkən, yalnız darknet-də ödəniş qəbulu səhifələrində QIWI detallarını və Bitcoin pul kisələrini əvəz etmək üçün kod qeydə alınıb. Zərərli fəaliyyət zamanı əvəzetmə üçün istifadə edilən pul kisələrində 4.8 bitkoin toplanıb ki, bu da təxminən 40 min dollara bərabərdir.
Mənbə: opennet.ru