Istraživači iz ESET-a distribucija zlonamernog Tor pretraživača koji su napravili nepoznati napadači. Sklop je pozicioniran kao zvanična ruska verzija Tor Browser-a, dok njegovi kreatori nemaju nikakve veze sa Tor projektom, a svrha njegovog kreiranja je bila zamjena Bitcoin i QIWI novčanika.
Kako bi obmanuli korisnike, kreatori skupa su registrovali domene tor-browser.org i torproect.org (različito od zvanične torpro web straniceJect.org zbog odsustva slova „J“, što je nezapaženo od strane mnogih korisnika koji govore ruski). Dizajn sajtova je stilizovan tako da liči na službenu Tor web stranicu. Na prvom sajtu je bila prikazana stranica sa upozorenjem o korišćenju zastarele verzije pretraživača Tor i predlogom za instaliranje ažuriranja (link je vodio do sklopa sa trojanskim softverom), a na drugom je sadržaj bio isti kao i stranica za preuzimanje Tor Browser. Zlonamjerni sklop kreiran je samo za Windows.
Od 2017. godine, Trojan Tor Browser se promovira na raznim forumima na ruskom jeziku, u raspravama vezanim za darknet, kriptovalute, zaobilazeći blokiranje Roskomnadzora i pitanja privatnosti. Za distribuciju pretraživača, pastebin.com je kreirao i mnoge stranice optimizirane da se pojavljuju u top pretraživačima na teme vezane za razne ilegalne operacije, cenzuru, imena poznatih političara itd.
Stranice koje reklamiraju fiktivnu verziju pretraživača na pastebin.com pregledane su više od 500 hiljada puta.
Fiktivna verzija bazirana je na bazi koda Tor Browser 7.5 i, osim ugrađenih zlonamjernih funkcija, manjih prilagođavanja korisničkog agenta, onemogućavanja provjere digitalnog potpisa za dodatke i blokiranja sistema za instalaciju ažuriranja, bila je identična službenoj Tor Browser. Zlonamjerno umetanje se sastojalo od pričvršćivanja rukovaoca sadržajem standardnom dodatku HTTPS Everywhere (dodatna skripta script.js je dodana manifest.jsonu). Preostale promene su napravljene na nivou podešavanja podešavanja, a svi binarni delovi su ostali iz zvaničnog Tor pretraživača.
Skripta integrisana u HTTPS Everywhere, prilikom otvaranja svake stranice, kontaktirala je kontrolni server, koji je vratio JavaScript kod koji bi trebalo da se izvrši u kontekstu trenutne stranice. Kontrolni server je funkcionirao kao skriveni Tor servis. Izvršavanjem JavaScript koda, napadači mogu presresti sadržaj web obrazaca, zamijeniti ili sakriti proizvoljne elemente na stranicama, prikazati fiktivne poruke itd. Međutim, prilikom analize zlonamjernog koda zabilježen je samo kod za zamjenu QIWI detalja i Bitcoin novčanika na stranicama za primanje plaćanja na darknetu. Tokom zlonamjerne aktivnosti, na novčanicima koji se koriste za lažiranje nakupljeno je 4.8 bitkoina, što odgovara približno 40 hiljada dolara.
izvor: opennet.ru