Mga tigdukiduki gikan sa ESET pag-apod-apod sa usa ka makadaot nga Tor Browser nga gitukod sa wala mailhi nga mga tig-atake. Ang asembliya gipahimutang ingon nga opisyal nga Ruso nga bersyon sa Tor Browser, samtang ang mga tiglalang niini walay kalabotan sa proyekto sa Tor, ug ang katuyoan sa paghimo niini mao ang pag-ilis sa Bitcoin ug QIWI nga mga pitaka.
Aron sa pagpahisalaag sa mga tiggamit, ang mga tiglalang sa asembliya nagparehistro sa mga domain nga tor-browser.org ug torproect.org (lahi sa opisyal nga torpro websiteJect.org pinaagi sa pagkawala sa letra nga "J", nga wala mamatikdi sa daghang tiggamit nga nagsultig Ruso). Ang disenyo sa mga site gi-istilo aron mahisama sa opisyal nga website sa Tor. Ang una nga site nagpakita sa usa ka panid nga adunay usa ka pasidaan bahin sa paggamit sa usa ka karaan nga bersyon sa Tor Browser ug usa ka sugyot sa pag-install sa usa ka update (ang link nagdala sa usa ka asembliya nga adunay Trojan software), ug sa ikaduha ang sulud parehas sa panid alang sa pag-download. Tor Browser. Ang malisyosong asembliya gimugna alang lamang sa Windows.
Sukad sa 2017, ang Trojan Tor Browser gi-promote sa lainlaing mga forum sa Russian nga pinulongan, sa mga diskusyon nga may kalabotan sa darknet, cryptocurrencies, pag-bypass sa Roskomnadzor blocking ug mga isyu sa privacy. Aron maapod-apod ang browser, ang pastebin.com naghimo usab ug daghang mga panid nga na-optimize aron makita sa mga nanguna nga search engine sa mga hilisgutan nga may kalabotan sa lainlaing mga ilegal nga operasyon, censorship, mga ngalan sa bantog nga mga politiko, ug uban pa.
Ang mga panid nga nag-anunsyo sa usa ka tinumotumo nga bersyon sa browser sa pastebin.com gitan-aw labaw sa 500 ka libo ka beses.
Ang tinumotumo nga pagtukod gibase sa Tor Browser 7.5 codebase ug, gawas sa mga built-in nga malisyoso nga mga function, menor de edad nga pag-adjust sa User-Agent, pag-disable sa digital signature verification para sa mga add-on, ug pag-block sa update installation system, parehas sa opisyal. Tor Browser. Ang malisyoso nga pagsal-ot naglangkob sa paglakip sa usa ka tigdumala sa sulud sa standard HTTPS Everywhere add-on (usa ka dugang nga script.js nga script gidugang sa manifest.json). Ang nahabilin nga mga pagbag-o gihimo sa lebel sa pag-adjust sa mga setting, ug ang tanan nga binary nga mga bahin nagpabilin gikan sa opisyal nga Tor Browser.
Ang script nga gisagol sa HTTPS Bisan asa, sa dihang giablihan ang matag panid, nakontak ang control server, nga nagbalik sa JavaScript code nga kinahanglan ipatuman sa konteksto sa karon nga panid. Ang control server naglihok isip usa ka tinago nga serbisyo sa Tor. Pinaagi sa pagpatuman sa JavaScript code, ang mga tig-atake mahimong makapugong sa sulod sa mga porma sa web, mopuli o magtago sa mga arbitraryong elemento sa mga panid, magpakita og tinumotumo nga mga mensahe, ug uban pa. Bisan pa, kung gi-analisar ang malisyoso nga code, ang code lamang sa pag-ilis sa mga detalye sa QIWI ug mga pitaka sa Bitcoin sa mga panid sa pagdawat sa bayad sa darknet ang natala. Atol sa malisyosong kalihokan, 4.8 Bitcoins ang natipon sa mga pitaka nga gigamit alang sa pagpuli, nga katumbas sa gibana-bana nga 40 ka libo ka dolyares.
Source: opennet.ru