Esploristoj de ESET distribuado de malica Tor Browser konstruata de nekonataj atakantoj. La asembleo estis poziciigita kiel la oficiala rusa versio de Tor Browser, dum ĝiaj kreintoj havas nenion komunan kun la Tor-projekto, kaj la celo de ĝia kreado estis anstataŭigi Bitcoin kaj QIWI-monujojn.
Por trompi uzantojn, la kreintoj de la asembleo registris la domajnojn tor-browser.org kaj torproect.org (malsama de la oficiala retejo de torproJect.org pro la foresto de la litero “J”, kiu restas nerimarkita de multaj ruslingvaj uzantoj). La dezajno de la retejoj estis stiligita por simili la oficiala Tor retejo. La unua retejo montris paĝon kun averto pri uzado de malaktuala versio de Tor Browser kaj propono instali ĝisdatigon (la ligilo kondukis al asembleo kun troja programaro), kaj en la dua la enhavo estis sama kiel la paĝo por elŝuto. Tor-Retumilo. La malica aro estis kreita nur por Vindozo.
Ekde 2017, la Trojan Tor-Retumilo estas promociita en diversaj ruslingvaj forumoj, en diskutoj rilataj al la mallumreto, kriptaj moneroj, preterirante Roskomnadzor-blokadon kaj privatecajn problemojn. Por distribui la retumilon, pastebin.com ankaŭ kreis multajn paĝojn optimumigitajn por aperi en la ĉefaj serĉiloj pri temoj rilataj al diversaj kontraŭleĝaj operacioj, cenzuro, nomoj de famaj politikistoj ktp.
Paĝoj reklamantaj fikcian version de la retumilo ĉe pastebin.com estis viditaj pli ol 500 mil fojojn.
La fikcia konstruo estis bazita sur la Tor Browser 7.5 kodbazo kaj, krom enkonstruitaj malicaj funkcioj, negravaj alĝustigoj al la Uzanto-Agente, malfunkciigante ciferecan subskriban konfirmon por aldonaĵoj kaj blokante la ĝisdatigan instalsistemon, estis identaj al la oficiala. Tor-Retumilo. La malica enmeto konsistis el aldono de enhavtraktilo al la norma aldonaĵo HTTPS Everywhere (aldona script.js-skripto estis aldonita al manifest.json). La ceteraj ŝanĝoj estis faritaj je la nivelo de alĝustigo de la agordoj, kaj ĉiuj binaraj partoj restis de la oficiala Tor-Retumilo.
La skripto integrita en HTTPS Everywhere, malferminte ĉiun paĝon, kontaktis la kontrolservilon, kiu resendis JavaScript-kodon, kiu devus esti efektivigita en la kunteksto de la nuna paĝo. La kontrolservilo funkciis kiel kaŝita Tor-servo. Efektivigante JavaScript-kodon, atakantoj povus kapti la enhavon de retformularoj, anstataŭigi aŭ kaŝi arbitrajn elementojn sur paĝoj, montri fikciajn mesaĝojn ktp. Tamen, kiam oni analizis la malican kodon, nur la kodo por anstataŭigi QIWI-detalojn kaj Bitcoin-monujojn sur pagaj akceptpaĝoj sur la mallumreto estis registrita. Dum la malica agado, 4.8 Bitcoins akumuliĝis sur la monujoj uzataj por anstataŭigo, kio respondas al proksimume 40 mil dolaroj.
fonto: opennet.ru