Ymchwilwyr o ESET dosbarthu porwr Tor maleisus wedi'i adeiladu gan ymosodwyr anhysbys. Gosodwyd y cynulliad fel fersiwn Rwsia swyddogol Tor Browser, tra nad oes gan ei grewyr unrhyw beth i'w wneud Γ’ phrosiect Tor, a phwrpas ei greu oedd disodli waledi Bitcoin a QIWI.
Er mwyn camarwain defnyddwyr, cofrestrodd crewyr y cynulliad y parthau tor-browser.org a torproect.org (yn wahanol i wefan swyddogol torproJect.org gan absenoldeb y llythyren βJβ, nad yw llawer o ddefnyddwyr sy'n siarad Rwsieg yn sylwi arno). Cafodd dyluniad y safleoedd ei steilio i ymdebygu i wefan swyddogol Tor. Roedd y wefan gyntaf yn dangos tudalen gyda rhybudd am ddefnyddio fersiwn hen ffasiwn o Tor Browser a chynnig i osod diweddariad (arweiniodd y ddolen at gydosod gyda meddalwedd Trojan), ac ar yr ail roedd y cynnwys yr un peth Γ’'r dudalen i'w lawrlwytho Porwr Tor. CrΓ«wyd y cynulliad maleisus ar gyfer Windows yn unig.
Ers 2017, mae Porwr Tor Trojan wedi'i hyrwyddo ar wahanol fforymau iaith Rwsieg, mewn trafodaethau yn ymwneud Γ’'r darknet, cryptocurrencies, gan osgoi blocio Roskomnadzor a materion preifatrwydd. Er mwyn dosbarthu'r porwr, creodd pastebin.com hefyd lawer o dudalennau wedi'u optimeiddio i ymddangos yn y peiriannau chwilio gorau ar bynciau'n ymwneud ag amrywiol weithrediadau anghyfreithlon, sensoriaeth, enwau gwleidyddion enwog, ac ati.
Edrychwyd ar dudalennau sy'n hysbysebu fersiwn ffug o'r porwr ar pastebin.com fwy na 500 mil o weithiau.
Roedd y lluniad ffug yn seiliedig ar sylfaen cod Porwr Tor 7.5 ac, ar wahΓ’n i swyddogaethau maleisus adeiledig, roedd mΓ’n addasiadau i'r Asiant Defnyddiwr, analluogi dilysu llofnod digidol ar gyfer ychwanegion, a rhwystro'r system gosod diweddariadau, yn union yr un fath Γ’'r swyddog Porwr Tor. Roedd y mewnosodiad maleisus yn cynnwys cysylltu triniwr cynnwys i'r ychwanegyn safonol HTTPS Everywhere (ychwanegwyd sgript script.js ychwanegol at manifest.json). Gwnaethpwyd y newidiadau sy'n weddill ar lefel addasu'r gosodiadau, ac arhosodd yr holl rannau deuaidd o'r Porwr Tor swyddogol.
Cysylltodd y sgript integredig i HTTPS Everywhere, wrth agor pob tudalen, Γ’'r gweinydd rheoli, a ddychwelodd cod JavaScript y dylid ei weithredu yng nghyd-destun y dudalen gyfredol. Roedd y gweinydd rheoli yn gweithredu fel gwasanaeth Tor cudd. Trwy weithredu cod JavaScript, gallai ymosodwyr ryng-gipio cynnwys ffurflenni gwe, amnewid neu guddio elfennau mympwyol ar dudalennau, arddangos negeseuon ffug, ac ati. Fodd bynnag, wrth ddadansoddi'r cod maleisus, dim ond y cod ar gyfer amnewid manylion QIWI a waledi Bitcoin ar dudalennau derbyn taliadau ar y darknet a gofnodwyd. Yn ystod y gweithgaredd maleisus, cronnwyd 4.8 Bitcoins ar y waledi a ddefnyddir ar gyfer amnewid, sy'n cyfateb i tua 40 mil o ddoleri.
Ffynhonnell: opennet.ru