Investigadores de ESET distribución de un navegador Tor malicioso creado por atacantes desconocidos. La asamblea se posicionó como la versión oficial rusa del navegador Tor, mientras que sus creadores no tienen nada que ver con el proyecto Tor, y el propósito de su creación fue reemplazar las billeteras Bitcoin y QIWI.
Para engañar a los usuarios, los creadores del ensamblaje registraron los dominios tor-browser.org y torproect.org (diferente del sitio web oficial de torproJect.org por la ausencia de la letra “J”, que pasa desapercibida para muchos usuarios de habla rusa). El diseño de los sitios fue estilizado para parecerse al sitio web oficial de Tor. El primer sitio mostraba una página con una advertencia sobre el uso de una versión desactualizada del navegador Tor y una propuesta para instalar una actualización (el enlace conducía a un ensamblaje con software troyano), y en el segundo el contenido era el mismo que el de la página de descarga. Navegador Tor. El ensamblado malicioso fue creado sólo para Windows.
Desde 2017, el Trojan Tor Browser se ha promocionado en varios foros en ruso, en debates relacionados con la red oscura, las criptomonedas, cómo evitar el bloqueo de Roskomnadzor y cuestiones de privacidad. Para distribuir el navegador, pastebin.com también creó muchas páginas optimizadas para aparecer en los principales motores de búsqueda sobre temas relacionados con diversas operaciones ilegales, censura, nombres de políticos famosos, etc.
Las páginas que anunciaban una versión ficticia del navegador en pastebin.com fueron vistas más de 500 mil veces.
La compilación ficticia se basó en el código base del Navegador Tor 7.5 y, aparte de las funciones maliciosas integradas, ajustes menores al User-Agent, la desactivación de la verificación de firma digital para complementos y el bloqueo del sistema de instalación de actualizaciones, era idéntica a la oficial. Navegador Tor. La inserción maliciosa consistió en adjuntar un controlador de contenido al complemento estándar HTTPS Everywhere (se agregó un script script.js adicional a manifest.json). Los cambios restantes se realizaron en el nivel de ajuste de la configuración, y todas las partes binarias permanecieron del navegador Tor oficial.
El script integrado en HTTPS Everywhere, al abrir cada página, contactaba con el servidor de control, que devolvía el código JavaScript que debía ejecutarse en el contexto de la página actual. El servidor de control funcionaba como un servicio Tor oculto. Al ejecutar código JavaScript, los atacantes podrían interceptar el contenido de los formularios web, sustituir u ocultar elementos arbitrarios en las páginas, mostrar mensajes ficticios, etc. Sin embargo, al analizar el código malicioso, solo se registró el código para sustituir los detalles de QIWI y las billeteras Bitcoin en las páginas de aceptación de pagos en la red oscura. Durante la actividad maliciosa, se acumularon 4.8 Bitcoins en las carteras utilizadas para la sustitución, lo que corresponde a aproximadamente 40 mil dólares.
Fuente: opennet.ru