Forscher von ESET Verbreitung eines bösartigen Tor-Browser-Builds durch unbekannte Angreifer. Die Baugruppe wurde als offizielle russische Version des Tor-Browsers positioniert, während ihre Schöpfer nichts mit dem Tor-Projekt zu tun hatten und der Zweck ihrer Erstellung darin bestand, Bitcoin- und QIWI-Wallets zu ersetzen.
Um Benutzer in die Irre zu führen, haben die Ersteller der Baugruppe die Domains tor-browser.org und torproect.org registriert (anders als die offizielle Torpro-Website).Ject.org durch das Fehlen des Buchstabens „J“, was für viele russischsprachige Benutzer unbemerkt bleibt). Das Design der Seiten wurde so stilisiert, dass es der offiziellen Tor-Website ähnelt. Auf der ersten Seite wurde eine Seite mit einer Warnung vor der Verwendung einer veralteten Version des Tor-Browsers und einem Vorschlag zur Installation eines Updates angezeigt (der Link führte zu einer Assembly mit Trojaner-Software), und auf der zweiten Seite war der Inhalt derselbe wie auf der Seite zum Herunterladen Tor Browser. Die bösartige Assembly wurde nur für Windows erstellt.
Seit 2017 wird der Trojaner Tor Browser in verschiedenen russischsprachigen Foren in Diskussionen über das Darknet, Kryptowährungen, die Umgehung der Roskomnadzor-Blockierung und Datenschutzfragen beworben. Um den Browser zu verbreiten, erstellte pastebin.com außerdem viele Seiten, die so optimiert waren, dass sie in den Top-Suchmaschinen zu Themen im Zusammenhang mit verschiedenen illegalen Operationen, Zensur, den Namen berühmter Politiker usw. angezeigt wurden.
Seiten, die auf pastebin.com eine fiktive Version des Browsers bewerben, wurden mehr als 500 Mal aufgerufen.
Der fiktive Build basierte auf der Codebasis von Tor Browser 7.5 und war abgesehen von integrierten Schadfunktionen, geringfügigen Anpassungen am User-Agent, der Deaktivierung der Überprüfung digitaler Signaturen für Add-ons und der Blockierung des Update-Installationssystems mit dem offiziellen Build identisch Tor Browser. Die böswillige Einfügung bestand darin, einen Content-Handler an das Standard-HTTPS-Everywhere-Add-on anzuhängen (ein zusätzliches script.js-Skript wurde zu manifest.json hinzugefügt). Die restlichen Änderungen wurden auf der Ebene der Anpassung der Einstellungen vorgenommen und alle binären Teile blieben vom offiziellen Tor-Browser erhalten.
Das in HTTPS Everywhere integrierte Skript kontaktierte beim Öffnen jeder Seite den Steuerungsserver, der JavaScript-Code zurückgab, der im Kontext der aktuellen Seite ausgeführt werden sollte. Der Kontrollserver fungierte als versteckter Tor-Dienst. Durch die Ausführung von JavaScript-Code könnten Angreifer den Inhalt von Webformularen abfangen, beliebige Elemente auf Seiten ersetzen oder verbergen, fiktive Nachrichten anzeigen usw. Bei der Analyse des Schadcodes wurde jedoch nur der Code zum Ersetzen von QIWI-Daten und Bitcoin-Wallets auf Zahlungsakzeptanzseiten im Darknet erfasst. Während der böswilligen Aktivität sammelten sich auf den für den Ersatz verwendeten Wallets 4.8 Bitcoins an, was etwa 40 Dollar entspricht.
Source: opennet.ru