ESET-i teadlased pahatahtliku Tor-brauseri järgu levitamine tundmatute ründajate poolt. Koost positsioneeriti Tor Browseri ametlikuks venekeelseks versiooniks, samas kui selle loojatel pole Tor-projektiga midagi pistmist ning selle loomise eesmärk oli asendada Bitcoini ja QIWI rahakotid.
Kasutajate eksitamiseks registreerisid assamblee loojad domeenid tor-browser.org ja torproect.org (erinevad ametlikust torpro veebisaidistJect.org tähe “J” puudumise tõttu, mis jääb paljudele vene keelt kõnelevatele kasutajatele märkamatuks). Saitide kujundus stiliseeriti nii, et see sarnaneks Tori ametlikule veebisaidile. Esimesel saidil kuvati leht hoiatusega Tor Browseri vana versiooni kasutamise kohta ja värskenduse installimise ettepanekuga (link viis Trooja tarkvaraga koostu juurde), teisel saidil oli sisu sama, mis allalaadimise lehel. Tori brauser. Pahatahtlik koost loodi ainult Windowsi jaoks.
Alates 2017. aastast on Trojan Tor Browserit reklaamitud erinevates venekeelsetes foorumites, aruteludes, mis on seotud darknetiga, krüptovaluutadega, Roskomnadzori blokeerimisest mööda hiilides ja privaatsusprobleemidest. Brauseri levitamiseks lõi pastebin.com ka palju lehti, mis on optimeeritud ilmuma tippotsingumootorites erinevate ebaseaduslike toimingute, tsensuuri, kuulsate poliitikute nimede jms teemadel.
Brauseri fiktiivset versiooni reklaamivaid lehti saidil pastebin.com vaadati üle 500 tuhande korra.
Väljamõeldud ehitus põhines Tor Browser 7.5 koodibaasil ja peale sisseehitatud pahatahtlike funktsioonide olid kasutajaagendi väikesed muudatused, lisandmoodulite digitaalallkirja kontrollimise keelamine ja värskenduse installisüsteemi blokeerimine identsed ametliku versiooniga. Tori brauser. Pahatahtlik sisestus seisnes sisuhalduri lisamises standardsele HTTPS Everywhere lisandmoodulile (faili manifest.json lisati täiendav skript script.js). Ülejäänud muudatused tehti seadete kohandamise tasemel ja kõik binaarsed osad jäid ametlikust Tor-brauserist.
HTTPS Everywhere'i integreeritud skript võttis iga lehe avamisel ühendust juhtserveriga, mis tagastas JavaScripti koodi, mis tuleks käivitada praeguse lehe kontekstis. Juhtserver toimis varjatud Tor-teenusena. JavaScripti koodi käivitades võivad ründajad kinni pidada veebivormide sisu, asendada või peita lehtedel suvalisi elemente, kuvada fiktiivseid sõnumeid jne. Pahatahtliku koodi analüüsimisel salvestati aga ainult Darkneti maksete vastuvõtmise lehtedel QIWI üksikasjade ja Bitcoini rahakottide asendamise kood. Pahatahtliku tegevuse käigus kogunes asenduseks kasutatud rahakottidesse 4.8 Bitcoini, mis vastab ligikaudu 40 tuhandele dollarile.
Allikas: opennet.ru