Des chercheurs d'ESET distribution d'un navigateur Tor malveillant construit par des attaquants inconnus. L'assemblage s'est positionné comme la version russe officielle du navigateur Tor, alors que ses créateurs n'ont rien à voir avec le projet Tor, et le but de sa création était de remplacer les portefeuilles Bitcoin et QIWI.
Pour induire les utilisateurs en erreur, les créateurs de l'assemblage ont enregistré les domaines tor-browser.org et torproect.org (différents du site officiel de torproJect.org par l’absence de la lettre « J », qui passe inaperçue auprès de nombreux utilisateurs russophones). La conception des sites a été stylisée pour ressembler au site officiel de Tor. Le premier site affichait une page avec un avertissement concernant l'utilisation d'une version obsolète du navigateur Tor et une proposition d'installation d'une mise à jour (le lien menait à un assemblage avec un logiciel cheval de Troie), et sur le second le contenu était le même que la page de téléchargement. Navigateur Tor. L'assembly malveillant a été créé uniquement pour Windows.
Depuis 2017, le cheval de Troie Tor Browser a été promu sur divers forums en langue russe, dans des discussions liées au darknet, aux crypto-monnaies, au contournement du blocage de Roskomnadzor et aux problèmes de confidentialité. Pour distribuer le navigateur, pastebin.com a également créé de nombreuses pages optimisées pour apparaître dans les principaux moteurs de recherche sur des sujets liés à diverses opérations illégales, à la censure, aux noms d'hommes politiques célèbres, etc.
Les pages annonçant une version fictive du navigateur sur pastebin.com ont été consultées plus de 500 XNUMX fois.
La version fictive était basée sur la base de code du navigateur Tor 7.5 et, outre les fonctions malveillantes intégrées, des ajustements mineurs au User-Agent, désactivant la vérification de la signature numérique pour les modules complémentaires et bloquant le système d'installation des mises à jour, était identique à la version officielle. Navigateur Tor. L'insertion malveillante consistait à attacher un gestionnaire de contenu au module complémentaire HTTPS Everywhere standard (un script script.js supplémentaire a été ajouté à manifest.json). Les modifications restantes ont été apportées au niveau de l'ajustement des paramètres, et toutes les parties binaires sont restées du navigateur Tor officiel.
Le script intégré à HTTPS Everywhere, lors de l'ouverture de chaque page, contactait le serveur de contrôle, qui renvoyait du code JavaScript qui devait être exécuté dans le contexte de la page en cours. Le serveur de contrôle fonctionnait comme un service Tor caché. En exécutant du code JavaScript, les attaquants pourraient intercepter le contenu des formulaires Web, substituer ou masquer des éléments arbitraires sur les pages, afficher des messages fictifs, etc. Cependant, lors de l’analyse du code malveillant, seul le code permettant de remplacer les détails QIWI et les portefeuilles Bitcoin sur les pages d’acceptation de paiement du darknet a été enregistré. Au cours de l'activité malveillante, 4.8 Bitcoins ont été accumulés sur les portefeuilles utilisés pour la substitution, ce qui correspond à environ 40 XNUMX dollars.
Source: opennet.ru