I ricercatori di ESET distribuzione di un navigatore Tor malicioso custruitu da attaccanti scunnisciuti. L'assemblea hè stata posizionata cum'è a versione russa ufficiale di Tor Browser, mentre chì i so creatori ùn anu nunda di fà cù u prughjettu Tor, è u scopu di a so creazione era di rimpiazzà i portafogli Bitcoin è QIWI.
Per ingannà l'utilizatori, i creatori di l'assemblea anu registratu i domini tor-browser.org è torproect.org (differenti da u situ web ufficiale di torpro).Ject.org da l'assenza di a lettera "J", chì passa inosservata da parechji utilizatori di lingua russa). U disignu di i siti hè statu stilizatu per s'assumiglia à u situ web ufficiale di Tor. U primu situ mostrava una pagina cù un avvisu annantu à l'usu di una versione obsoleta di Tor Browser è una pruposta per installà una aghjurnazione (u ligame hà purtatu à una assemblea cù u software Trojan), è in u sicondu u cuntenutu era u listessu cum'è a pagina per scaricà. Tor Browser. L'assemblea maliciosa hè stata creata solu per Windows.
Dapoi 2017, u Trojan Tor Browser hè statu prumuvutu nantu à diversi fori di lingua russa, in discussioni ligati à u darknet, cryptocurrencies, bypassing Roskomnadzor bluccatu è prublemi di privacy. Per distribuisce u navigatore, pastebin.com hà ancu creatu parechje pagine ottimisate per apparisce in i primi mutori di ricerca nantu à temi ligati à diverse operazioni illegali, a censura, i nomi di famosi pulitici, etc.
E pagine chì publicità una versione fittizia di u navigatore in pastebin.com sò state viste più di 500 mila volte.
A custruzione fittizia hè stata basata nantu à a basa di codice Tor Browser 7.5 è, fora di e funzioni maliziusi integrate, aghjustamenti minori à l'Usuariu-Agente, disattivendu a verificazione di firma digitale per add-ons, è bluccà u sistema di installazione di l'aghjurnamentu, era identica à l'ufficiale. Tor Browser. L'inserzione maliciosa consistia à aghjunghje un gestore di cuntenutu à l'add-on standard HTTPS Everywhere (un script script.js addiziale hè statu aghjuntu à manifest.json). I cambiamenti rimanenti sò stati fatti à u livellu di l'aghjustà i paràmetri, è tutte e parti binari restanu da u Tor Browser ufficiale.
U script integratu in HTTPS Everywhere, quandu apre ogni pagina, hà cuntattatu u servitore di cuntrollu, chì hà tornatu u codice JavaScript chì deve esse eseguitu in u cuntestu di a pagina attuale. U servitore di cuntrollu hà funzionatu cum'è un serviziu Tor oculatu. Eseguendu u codice JavaScript, l'attaccanti puderanu intercepte u cuntenutu di e forme web, rimpiazzà o oculta elementi arbitrarii nantu à e pagine, affissà messagi fittizi, etc. In ogni casu, quandu analizà u codice maliziusu, solu u codice per rimpiazzà i dettagli QIWI è i portafogli di Bitcoin in e pagine di accettazione di pagamentu in u darknet hè statu registratu. Duranti l'attività maliciosa, 4.8 Bitcoins sò stati accumulati nantu à i wallets utilizati per a sustituzione, chì currisponde à circa 40 mila dollari.
Source: opennet.ru