Даследнікі з кампаніі ESET распаўсюджванне невядомымі зламыснікамі шкоднаснай зборкі Tor Browser. Зборка пазіцыянавалася як афіцыйная руская версія Tor Browser, у той час як да праекту Tor яе стваральнікі не маюць ніякага дачынення, а мэтай стварэнне была падмена кашалькоў Bitcoin і QIWI.
Для ўвядзення карыстальнікаў у зман стваральнікі зборкі зарэгістравалі дамены tor-browser.org і torproect.org (адрозніваецца ад афіцыйнага сайта torproJect.org адсутнасцю літары "J", што многімі рускамоўнымі карыстальнікамі застаецца незаўважаным). Афармленне сайтаў было стылізавана пад афіцыйны сайт Tor. На першым сайце выводзілася старонка з папярэджаннем аб выкарыстанні састарэлай версіі Tor Browser і прапановай усталяваць абнаўленне (спасылка вяла на зборку з траянскім ПЗ), а на другім змесціва паўтарала старонку для загрузкі Tor Browser. Шкоднасная зборка была фармавана толькі для Windows.
Траянскі Tor Browser з 2017 года прасоўваўся на розных рускамоўных форумах, у абмеркаваннях звязаных з даркнетам, крыптавалютамі, абыходам блакіровак Роскомнадзора і пытаннямі забеспячэння прыватнасці. Для распаўсюджвання браўзэра на pastebin.com таксама было створана мноства старонак, аптымізаваных для вываду ў топе пошукавых сістэм па тэмах, звязаных з рознымі незаконнымі аперацыямі, цэнзурай, імёнамі вядомых палітыкаў і да т.п.
Старонкі з рэкламай фіктыўнай версіяй браўзэра на pastebin.com былі прагледжаны больш за 500 тысяч разоў.
Фіктыўная зборка была заснавана на кодавай базе Tor Browser 7.5 і акрамя ўбудаваных шкоднасных функцый, невялікай карэкціроўкі User-Agent, адключэнні праверкі лічбавых подпісаў для дадаткаў і блакаванні сістэмы ўсталёўкі абнаўленняў была ідэнтычная афіцыйнаму Tor Browser. Шкодная ўстаўка зводзілася да прымацавання апрацоўшчыка кантэнту ў штатны дадатак HTTPS Everywhere (у manifest.json быў дададзены дадатковы скрыпт script.js). Астатнія змены былі зроблены на ўзроўні карэкціроўкі настроек, а ўсе бінарныя часткі заставаліся ад афіцыйнага Tor Browser.
Інтэграваны ў HTTPS Everywhere скрыпт пры адкрыцці кожнай старонкі звяртаўся да кіравальнага сервера, які вяртаў JavaScript-код, які вынікала выканаць у кантэксце бягучай старонкі. Кіруючы сервер функцыянаваў як утоены сэрвіс Tor. Праз выкананне JavaScript-кода зламыснікі маглі арганізаваць перахоп змесціва web-формаў, падстаноўку або ўтойванне адвольных элементаў на старонках, адлюстраванне фіктыўных паведамленняў і да т.п. Тым не менш, пры аналізе шкоднаснага кода было зафіксаваны толькі код для падмены рэквізітаў QIWI і кашалькоў Bitcoin на старонках прыёму плацяжоў у darknet. Падчас шкоднаснай дзейнасці на кашальках, якія выкарыстоўваюцца для падмены, назапасілася 4.8 Bitcoin, што адпавядае прыкладна 40 тысячам долараў.
Крыніца: opennet.ru