Ερευνητές από την ESET διανομή ενός κακόβουλου προγράμματος περιήγησης Tor από άγνωστους εισβολείς. Το συγκρότημα τοποθετήθηκε ως η επίσημη ρωσική έκδοση του Tor Browser, ενώ οι δημιουργοί του δεν έχουν καμία σχέση με το έργο Tor και σκοπός της δημιουργίας του ήταν να αντικαταστήσει τα πορτοφόλια Bitcoin και QIWI.
Για να παραπλανήσουν τους χρήστες, οι δημιουργοί της συναρμολόγησης κατοχύρωσαν τους τομείς tor-browser.org και torproect.org (διαφορετικοί από τον επίσημο ιστότοπο torproJect.org από την απουσία του γράμματος "J", το οποίο περνά απαρατήρητο από πολλούς ρωσόφωνους χρήστες). Ο σχεδιασμός των τοποθεσιών σχεδιάστηκε έτσι ώστε να μοιάζει με τον επίσημο ιστότοπο Tor. Ο πρώτος ιστότοπος εμφάνισε μια σελίδα με μια προειδοποίηση σχετικά με τη χρήση μιας παλιάς έκδοσης του προγράμματος περιήγησης Tor και μια πρόταση για εγκατάσταση μιας ενημέρωσης (ο σύνδεσμος οδήγησε σε μια συναρμολόγηση με λογισμικό Trojan) και στη δεύτερη το περιεχόμενο ήταν το ίδιο με τη σελίδα για λήψη Tor Browser. Το κακόβουλο συγκρότημα δημιουργήθηκε μόνο για Windows.
Από το 2017, ο Trojan Tor Browser έχει προωθηθεί σε διάφορα φόρουμ ρωσικής γλώσσας, σε συζητήσεις που σχετίζονται με το darknet, τα κρυπτονομίσματα, παρακάμπτοντας τον αποκλεισμό Roskomnadzor και ζητήματα απορρήτου. Για τη διανομή του προγράμματος περιήγησης, το pastebin.com δημιούργησε επίσης πολλές σελίδες βελτιστοποιημένες για να εμφανίζονται στις κορυφαίες μηχανές αναζήτησης για θέματα που σχετίζονται με διάφορες παράνομες λειτουργίες, λογοκρισία, ονόματα διάσημων πολιτικών κ.λπ.
Οι σελίδες που διαφημίζουν μια πλασματική έκδοση του προγράμματος περιήγησης στο pastebin.com προβλήθηκαν περισσότερες από 500 χιλιάδες φορές.
Η πλασματική έκδοση βασίστηκε στη βάση κώδικα Tor Browser 7.5 και, εκτός από τις ενσωματωμένες κακόβουλες λειτουργίες, τις μικρές προσαρμογές στο User-Agent, την απενεργοποίηση της επαλήθευσης ψηφιακής υπογραφής για πρόσθετα και τον αποκλεισμό του συστήματος εγκατάστασης ενημερώσεων, ήταν πανομοιότυπο με το επίσημο Tor Browser. Η κακόβουλη εισαγωγή συνίστατο στην επισύναψη ενός προγράμματος χειρισμού περιεχομένου στο τυπικό πρόσθετο HTTPS Everywhere (ένα επιπλέον σενάριο script.js προστέθηκε στο manifest.json). Οι υπόλοιπες αλλαγές έγιναν στο επίπεδο προσαρμογής των ρυθμίσεων και όλα τα δυαδικά μέρη παρέμειναν από το επίσημο πρόγραμμα περιήγησης Tor.
Το σενάριο που ενσωματώθηκε στο HTTPS Everywhere, κατά το άνοιγμα κάθε σελίδας, ήρθε σε επαφή με τον διακομιστή ελέγχου, ο οποίος επέστρεψε κώδικα JavaScript που θα έπρεπε να εκτελεστεί στο πλαίσιο της τρέχουσας σελίδας. Ο διακομιστής ελέγχου λειτουργούσε ως κρυφή υπηρεσία Tor. Εκτελώντας κώδικα JavaScript, οι εισβολείς θα μπορούσαν να υποκλέψουν το περιεχόμενο των φορμών Ιστού, να αντικαταστήσουν ή να αποκρύψουν αυθαίρετα στοιχεία σε σελίδες, να εμφανίσουν εικονικά μηνύματα κ.λπ. Ωστόσο, κατά την ανάλυση του κακόβουλου κώδικα, καταγράφηκε μόνο ο κωδικός για την αντικατάσταση των στοιχείων QIWI και των πορτοφολιών Bitcoin στις σελίδες αποδοχής πληρωμών στο darknet. Κατά τη διάρκεια της κακόβουλης δραστηριότητας, συσσωρεύτηκαν 4.8 Bitcoins στα πορτοφόλια που χρησιμοποιούνται για πλαστογράφηση, που αντιστοιχεί σε περίπου 40 χιλιάδες δολάρια.
Πηγή: opennet.ru