Forskere fra ESET distribution af en ondsindet Tor-browser bygget af ukendte angribere. Forsamlingen blev placeret som den officielle russiske version af Tor Browser, mens dens skabere ikke har noget at gøre med Tor-projektet, og formålet med dets oprettelse var at erstatte Bitcoin og QIWI tegnebøger.
For at vildlede brugere registrerede skaberne af forsamlingen domænerne tor-browser.org og torproect.org (forskelligt fra det officielle torpro-webstedJect.org ved fraværet af bogstavet "J", som går ubemærket hen af mange russisktalende brugere). Designet af webstederne blev stiliseret til at ligne det officielle Tor-websted. Det første websted viste en side med en advarsel om brug af en forældet version af Tor Browser og et forslag om at installere en opdatering (linket førte til en samling med trojansk software), og på den anden side var indholdet det samme som siden til download Tor browser. Den ondsindede samling blev kun oprettet til Windows.
Siden 2017 er den trojanske Tor-browser blevet promoveret på forskellige russisksprogede fora i diskussioner relateret til darknet, kryptovalutaer, omgåelse af Roskomnadzor-blokering og privatlivsproblemer. For at distribuere browseren oprettede pastebin.com også mange sider, der var optimeret til at blive vist i de bedste søgemaskiner om emner relateret til forskellige ulovlige operationer, censur, navne på kendte politikere osv.
Sider, der reklamerer for en fiktiv version af browseren på pastebin.com, blev set mere end 500 tusinde gange.
Den fiktive build var baseret på Tor Browser 7.5-kodebasen, og bortset fra indbyggede ondsindede funktioner var mindre justeringer af User-Agent, deaktivering af digital signaturverifikation for tilføjelser og blokering af opdateringsinstallationssystemet identisk med den officielle. Tor browser. Den ondsindede indsættelse bestod i at vedhæfte en indholdshandler til standardtilføjelsen HTTPS Everywhere (et ekstra script.js-script blev tilføjet til manifest.json). De resterende ændringer blev foretaget på niveauet for justering af indstillingerne, og alle binære dele forblev fra den officielle Tor-browser.
Scriptet integreret i HTTPS Everywhere kontaktede ved åbning af hver side kontrolserveren, som returnerede JavaScript-kode, der skulle udføres i sammenhæng med den aktuelle side. Kontrolserveren fungerede som en skjult Tor-tjeneste. Ved at udføre JavaScript-kode kunne angribere opsnappe indholdet af webformularer, erstatte eller skjule vilkårlige elementer på sider, vise fiktive beskeder osv. Men ved analyse af den ondsindede kode blev kun koden til at erstatte QIWI-detaljer og Bitcoin-punge på betalingsacceptsider på darknet registreret. Under den ondsindede aktivitet blev der akkumuleret 4.8 Bitcoins på de tegnebøger, der blev brugt til substitution, hvilket svarer til cirka 40 tusind dollars.
Kilde: opennet.ru