ESETeko ikertzaileak Erasotzaile ezezagunek sortutako Tor arakatzaile maltzur baten banaketa. Muntaia Tor Browser-en errusiar bertsio ofizial gisa kokatu zen, bere sortzaileek Tor proiektuarekin zerikusirik ez duten bitartean, eta bere sorreraren helburua Bitcoin eta QIWI zorroak ordezkatzea izan zen.
Erabiltzaileak engainatzeko, asanbladaren sortzaileek tor-browser.org eta torproect.org domeinuak erregistratu zituzten (torpro webgune ofizialetik desberdinak).Ject.org "J" hizkiaren faltagatik, errusieraz hitz egiten duten erabiltzaile askori oharkabean pasatzen dena). Guneen diseinua Tor webgune ofizialaren antza izateko estilizatu zen. Lehenengo guneak Tor nabigatzailearen bertsio zaharkitu bat erabiltzeari buruzko abisua eta eguneraketa bat instalatzeko proposamen bat erakusten zuen (estekak Troiako softwarearekin muntaketa batera eramaten zuen), eta bigarrenean edukia deskargatzeko orriaren berdina zen. Tor arakatzailea. Asmo txarreko muntaia Windows-erako bakarrik sortu da.
2017az geroztik, Trojan Tor arakatzailea errusiar hizkuntzako hainbat forotan sustatu da, darknet-arekin, kripto-monetarekin lotutako eztabaidetan, Roskomnadzor blokeoa eta pribatutasun arazoak saihestuz. Nabigatzailea banatzeko, pastebin.com-ek orrialde ugari sortu zituen, gainera, bilatzaile nagusietan agertzeko, legez kanpoko hainbat eragiketarekin, zentsurarekin, politikari ospetsuen izenekin, etab.
Pastebin.com-en nabigatzailearen fikziozko bertsioa iragartzen duten orrialdeak 500 mila aldiz baino gehiago ikusi ziren.
Fikziozko eraikuntza Tor Browser 7.5 kode-oinarrian oinarritzen zen eta, integratutako funtzio maltzurrez gain, Erabiltzaile-Agentean egindako doikuntza txikiak, gehigarrietarako sinadura digitalaren egiaztapena desgaitu eta eguneratze-instalazio sistema blokeatzea ofizialaren berdina zen. Tor arakatzailea. Asmo txarreko txertaketa HTTPS Everywhere gehigarri estandarrari eduki-kudeatzailea eranstea izan zen (script.js script gehigarri bat gehitu zen manifest.json-era). Gainerako aldaketak ezarpenak doitzeko mailan egin ziren, eta zati bitar guztiak Tor arakatzaile ofizialetik geratu ziren.
HTTPS Everywhere-n integratutako script-a, orrialde bakoitza irekitzean, kontrol-zerbitzariarekin harremanetan jarri zen, eta honek uneko orrialdearen testuinguruan exekutatu beharreko JavaScript kodea itzuli zuen. Kontrol zerbitzariak ezkutuko Tor zerbitzu gisa funtzionatzen zuen. JavaScript kodea exekutatuz, erasotzaileek web inprimakien edukia atzeman dezakete, orrialdeetako elementu arbitrarioak ordezkatu edo ezkutatu, fikziozko mezuak bistaratu, etab. Hala ere, kode gaiztoa aztertzean, darknet-eko ordainketa onartzeko orrietan QIWI xehetasunak eta Bitcoin zorroak ordezkatzeko kodea bakarrik erregistratu zen. Asmo txarreko jardueran, 4.8 Bitcoins metatu ziren ordezkatzeko erabilitako zorroetan, hau da, 40 mila dolar gutxi gorabehera.
Iturria: opennet.ru