Undersikers fan ESET ferdieling fan in kweade Tor Browser boud troch ûnbekende oanfallers. De gearkomste waard gepositioneerd as de offisjele Russyske ferzje fan Tor Browser, wylst syn makkers hawwe neat te krijen mei it Tor projekt, en it doel fan syn skepping wie te ferfangen Bitcoin en QIWI wallets.
Om brûkers te mislieden, registreare de makkers fan 'e gearkomste de domeinen tor-browser.org en torproect.org (oars as de offisjele torpro-websideJect.org troch it ûntbrekken fan 'e letter "J", dy't ûngemurken bliuwt troch in protte Russysktalige brûkers). It ûntwerp fan 'e siden waard stilisearre om te lykjen op' e offisjele Tor-webside. De earste side toande in side mei in warskôging oer it brûken fan in ferâldere ferzje fan Tor Browser en in foarstel om in update te ynstallearjen (de keppeling late ta in gearstalling mei Trojaanske software), en op 'e twadde wie de ynhâld itselde as de side foar it downloaden Tor Browser. De kweade gearstalling is allinich makke foar Windows.
Sûnt 2017 is de Trojan Tor Browser promovearre op ferskate Russysktalige foarums, yn diskusjes yn ferbân mei it darknet, cryptocurrencies, it omgean fan Roskomnadzor-blokkering en privacyproblemen. Om de browser te fersprieden, makke pastebin.com ek in protte siden optimalisearre om te ferskinen yn 'e top sykmasines oer ûnderwerpen dy't relatearre binne oan ferskate yllegale operaasjes, sensuer, de nammen fan ferneamde politisy, ensfh.
Siden dy't advertearje foar in fiktive ferzje fan 'e browser op pastebin.com waarden mear as 500 tûzen kear besjoen.
De fiktive build wie basearre op de Tor Browser 7.5-koadebase en, útsein ynboude kweade funksjes, wie lytse oanpassingen oan 'e User-Agent, it útskeakeljen fan digitale hantekeningferifikaasje foar tafoegings, en it blokkearjen fan it update-ynstallaasjesysteem, wie identyk oan it offisjele Tor Browser. De kweade ynfoegje bestie út it heakjen fan in ynhâld handler oan de standert HTTPS Everywhere add-on (in ekstra script.js skript waard tafoege oan manifest.json). De oerbleaune wizigingen waarden makke op it nivo fan it oanpassen fan de ynstellings, en alle binêre dielen bleaunen fan 'e offisjele Tor Browser.
It skript yntegrearre yn HTTPS Oeral, by it iepenjen fan elke side, kontakt op mei de kontrôletsjinner, dy't JavaScript-koade weromjûn dy't útfierd wurde moat yn 'e kontekst fan' e hjoeddeistige side. De kontrôletsjinner fungearre as in ferburgen Tor-tsjinst. Troch JavaScript-koade út te fieren, koene oanfallers de ynhâld fan webformulieren ûnderskeppe, willekeurige eleminten op siden ferfange of ferbergje, fiktive berjochten werjaan, ensfh. By it analysearjen fan 'e kweade koade waard lykwols allinich de koade foar it ferfangen fan QIWI-details en Bitcoin-slúven op siden foar akseptaasje fan betellingen op it darknet opnommen. Tidens de kweade aktiviteit waarden 4.8 Bitcoins sammele op 'e wallets brûkt foar substitúsje, wat oerienkomt mei sawat 40 tûzen dollar.
Boarne: opennet.ru