Výzkumníci ze společnosti ESET distribuce škodlivého sestavení Tor Browser neznámými útočníky. Sestava byla umístěna jako oficiální ruská verze prohlížeče Tor, zatímco její tvůrci nemají nic společného s projektem Tor a účelem jejího vytvoření bylo nahradit peněženky Bitcoin a QIWI.
Aby tvůrci montáže uvedli uživatele v omyl, zaregistrovali domény tor-browser.org a torproect.org (odlišné od oficiálních stránek torproJect.org absencí písmene „J“, kterého si mnoho rusky mluvících uživatelů nevšimne). Design stránek byl stylizován tak, aby připomínal oficiální stránky Tor. Na prvním webu se zobrazila stránka s upozorněním na používání zastaralé verze prohlížeče Tor a návrhem na instalaci aktualizace (odkaz vedl na sestavení s trojským softwarem), na druhém byl obsah stejný jako na stránce ke stažení Prohlížeč Tor. Škodlivé sestavení bylo vytvořeno pouze pro Windows.
Od roku 2017 je Trojan Tor Browser propagován na různých ruskojazyčných fórech, v diskuzích týkajících se darknetu, kryptoměn, obcházení blokování Roskomnadzor a problémů s ochranou soukromí. K distribuci prohlížeče pastebin.com také vytvořil mnoho stránek optimalizovaných tak, aby se objevovaly v předních vyhledávačích na témata související s různými nelegálními operacemi, cenzurou, jmény slavných politiků atd.
Stránky inzerující fiktivní verzi prohlížeče na pastebin.com byly zobrazeny více než 500 tisíckrát.
Fiktivní sestavení bylo založeno na kódové základně Tor Browser 7.5 a kromě vestavěných škodlivých funkcí, drobných úprav User-Agent, zakázání ověřování digitálního podpisu u doplňků a zablokování instalačního systému aktualizací, bylo totožné s oficiálním Prohlížeč Tor. Škodlivé vložení spočívalo v připojení obslužné rutiny obsahu ke standardnímu doplňku HTTPS Everywhere (do manifest.json byl přidán další skript script.js). Zbývající změny byly provedeny na úrovni úpravy nastavení a všechny binární části zůstaly z oficiálního prohlížeče Tor.
Skript integrovaný do HTTPS Everywhere při otevření každé stránky kontaktoval řídicí server, který vrátil kód JavaScript, který by měl být spuštěn v kontextu aktuální stránky. Řídicí server fungoval jako skrytá služba Tor. Spuštěním kódu JavaScript by útočníci mohli zachytit obsah webových formulářů, nahradit nebo skrýt libovolné prvky na stránkách, zobrazit fiktivní zprávy atd. Při analýze škodlivého kódu však byl zaznamenán pouze kód pro nahrazení podrobností QIWI a bitcoinových peněženek na stránkách přijímání plateb na darknetu. Během škodlivé činnosti se na peněženkách používaných k substituci nashromáždilo 4.8 bitcoinů, což odpovídá přibližně 40 tisícům dolarů.
Zdroj: opennet.ru