ESETin tutkijat haitallisen Tor-selainkokoonpanon levittäminen tuntemattomien hyökkääjien toimesta. Kokoonpano sijoitettiin Tor Browserin viralliseksi venäläiseksi versioksi, kun taas sen tekijöillä ei ole mitään tekemistä Tor-projektin kanssa, ja sen luomisen tarkoituksena oli korvata Bitcoin- ja QIWI-lompakot.
Käyttäjien harhaanjohtamiseksi kokoonpanon luojat rekisteröivät verkkotunnukset tor-browser.org ja torproect.org (eri kuin torpron virallinen verkkosivustoJect.org J-kirjaimen puuttuessa, mikä jää monilta venäjänkielisiltä käyttäjiltä huomaamatta). Sivustojen suunnittelu tyyliteltiin muistuttamaan virallista Tor-verkkosivustoa. Ensimmäisellä sivustolla oli varoitus Tor-selaimen vanhentuneen version käytöstä ja päivityksen asennusehdotus (linkki johti kokoonpanoon troijalaisen ohjelmiston kanssa), ja toisella sisältö oli sama kuin lataussivulla. Tor-selain. Haitallinen kokoonpano luotiin vain Windowsille.
Vuodesta 2017 lähtien Trojan Tor -selainta on mainostettu useilla venäjänkielisillä foorumeilla, keskusteluissa, jotka liittyvät darknetiin, kryptovaluuttoihin, Roskomnadzorin eston ohittamiseen ja tietosuojaongelmiin. Selaimen levittämiseksi pastebin.com loi myös monia sivuja, jotka on optimoitu näkymään suosituimmissa hakukoneissa aiheista, jotka liittyvät erilaisiin laittomiin toimiin, sensuuriin, kuuluisien poliitikkojen nimiin jne.
Sivuja, jotka mainostavat fiktiivinen versio selaimesta pastebin.comissa, katsottiin yli 500 tuhatta kertaa.
Kuvitteellinen rakennelma perustui Tor Browser 7.5 -koodikantaan, ja sisäänrakennettuja haittatoimintoja lukuun ottamatta User-Agentin pieniä muutoksia, lisäosien digitaalisen allekirjoituksen tarkistuksen poistamista ja päivityksen asennusjärjestelmän estämistä, oli identtinen virallisen kanssa. Tor-selain. Haitallinen lisäys sisälsi sisällönkäsittelijän liittämisen tavalliseen HTTPS Everywhere -lisäosaan (manifest.json-tiedostoon lisättiin ylimääräinen script.js-skripti). Loput muutokset tehtiin asetusten säätämisen tasolla, ja kaikki binaariosat jäivät virallisesta Tor-selaimesta.
HTTPS Everywhereen integroitu komentosarja otti jokaisen sivun avaamisen yhteydessä yhteyttä ohjauspalvelimeen, joka palautti JavaScript-koodin, joka tulisi suorittaa nykyisen sivun yhteydessä. Ohjauspalvelin toimi piilotettuna Tor-palveluna. Suorittamalla JavaScript-koodia hyökkääjät voivat siepata verkkolomakkeiden sisällön, korvata tai piilottaa mielivaltaisia elementtejä sivuilla, näyttää kuvitteellisia viestejä jne. Haitallista koodia analysoitaessa kuitenkin tallennettiin vain koodi QIWI-tietojen ja Bitcoin-lompakoiden korvaamiseksi darknetin maksujen hyväksymissivuilla. Haitallisen toiminnan aikana vaihtoon käytettyihin lompakoihin kertyi 4.8 Bitcoinia, mikä vastaa noin 40 tuhatta dollaria.
Lähde: opennet.ru