Investigadors d'ESET distribució d'un navegador Tor maliciós creat per atacants desconeguts. El conjunt es va posicionar com la versió oficial russa del navegador Tor, mentre que els seus creadors no tenen res a veure amb el projecte Tor, i l'objectiu de la seva creació era substituir les carteres Bitcoin i QIWI.
Per enganyar els usuaris, els creadors de l'assemblea van registrar els dominis tor-browser.org i torproect.org (diferent del lloc web oficial de torproJect.org per l'absència de la lletra "J", que passa desapercebuda per a molts usuaris de parla russa). El disseny dels llocs es va estilitzar per assemblar-se al lloc web oficial de Tor. El primer lloc mostrava una pàgina amb un avís sobre l'ús d'una versió obsoleta del navegador Tor i una proposta per instal·lar una actualització (l'enllaç portava a un muntatge amb programari troià), i al segon el contingut era el mateix que la pàgina per descarregar Navegador Tor. El conjunt maliciós només es va crear per a Windows.
Des del 2017, el navegador Trojan Tor s'ha promocionat en diversos fòrums en llengua russa, en debats relacionats amb la xarxa fosca, les criptomonedes, evitant el bloqueig de Roskomnadzor i els problemes de privadesa. Per distribuir el navegador, pastebin.com també va crear moltes pàgines optimitzades per aparèixer als principals cercadors sobre temes relacionats amb diverses operacions il·legals, la censura, els noms de polítics famosos, etc.
Les pàgines que anuncien una versió fictícia del navegador a pastebin.com es van veure més de 500 mil vegades.
La compilació fictícia es basava en la base de codi Tor Browser 7.5 i, a part de les funcions malicioses integrades, els ajustos menors a l'agent d'usuari, la desactivació de la verificació de signatura digital per als complements i el bloqueig del sistema d'instal·lació d'actualitzacions, era idèntic a l'oficial. Navegador Tor. La inserció maliciosa va consistir en adjuntar un gestor de contingut al complement estàndard HTTPS Everywhere (es va afegir un script script.js addicional a manifest.json). Els canvis restants es van fer a l'hora d'ajustar la configuració i totes les parts binàries es van mantenir del navegador Tor oficial.
L'script integrat a HTTPS Everywhere, en obrir cada pàgina, va contactar amb el servidor de control, que va retornar el codi JavaScript que s'havia d'executar en el context de la pàgina actual. El servidor de control funcionava com un servei Tor ocult. Mitjançant l'execució de codi JavaScript, els atacants podrien interceptar el contingut dels formularis web, substituir o ocultar elements arbitraris a les pàgines, mostrar missatges ficticis, etc. Tanmateix, en analitzar el codi maliciós, només es va registrar el codi per substituir els detalls QIWI i les carteres de Bitcoin a les pàgines d'acceptació de pagaments a la xarxa fosca. Durant l'activitat maliciosa, es van acumular 4.8 Bitcoins a les carteres utilitzades per a la substitució, la qual cosa correspon a aproximadament 40 mil dòlars.
Font: opennet.ru