Luchd-rannsachaidh bho ESET
Gus luchd-cleachdaidh a mhealladh, chlàraich luchd-cruthachaidh an t-seanaidh na raointean tor-browser.org agus torproect.org (eadar-dhealaichte bho làrach-lìn oifigeil torproJect.org às aonais na litreach “J”, nach eil mòran de luchd-cleachdaidh Ruiseanach a’ mothachadh). Chaidh dealbhadh nan làraich a dhealbhadh gus a bhith coltach ri làrach-lìn oifigeil Tor. Sheall a’ chiad làrach duilleag le rabhadh mu bhith a’ cleachdadh seann dreach de Tor Browser agus moladh airson ùrachadh a chuir a-steach (thug an ceangal gu co-chruinneachadh le bathar-bog Trojan), agus air an dàrna fear bha an susbaint co-ionann ris an duilleag airson luchdachadh sìos Brabhsair Tor. Chaidh an co-chruinneachadh droch-rùnach a chruthachadh airson Windows a-mhàin.
Bho 2017, tha an Trojan Tor Browser air a bhrosnachadh air diofar fhòraman ann an cànan na Ruis, ann an còmhraidhean co-cheangailte ris an darknet, cryptocurrencies, a ’dol seachad air bacadh Roskomnadzor agus cùisean prìobhaideachd. Gus am brabhsair a sgaoileadh, chruthaich pastebin.com cuideachd mòran dhuilleagan air an ùrachadh gus nochdadh anns na prìomh einnseanan sgrùdaidh air cuspairean co-cheangailte ri diofar ghnìomhachdan mì-laghail, caisgireachd, ainmean luchd-poilitigs ainmeil, msaa.
Chaidh coimhead air duilleagan a’ sanasachd dreach meallta den bhrobhsair air pastebin.com còrr air 500 mìle uair.
Bha an togail meallta stèidhichte air bunait còd Tor Browser 7.5 agus, a bharrachd air gnìomhan droch-rùnach a chaidh a thogail a-steach, bha atharrachaidhean beaga air a’ Ghnìomh-chleachdaiche, a’ cur casg air dearbhadh ainm-sgrìobhte didseatach airson tuilleadan, agus a’ bacadh an t-siostam stàlaidh ùrachaidh, co-ionann ris an oifigear. Brabhsair Tor. Bha an cuir a-steach droch-rùnach a’ toirt a-steach inneal-làimhseachaidh susbaint a cheangal ris an tuilleadan àbhaisteach HTTPS Everywhere (chaidh sgriobt script.js a bharrachd a chuir ri manifest.json). Chaidh na h-atharrachaidhean a bha air fhàgail a dhèanamh aig ìre atharrachaidh nan roghainnean, agus dh’ fhan a h-uile pàirt binary bhon bhrobhsair oifigeil Tor.
Chuir an sgriobt fhilleadh a-steach do HTTPS Anns a h-uile àite, nuair a dh’ fhosgail e gach duilleag, fios don t-seirbheisiche smachd, a thill còd JavaScript a bu chòir a chuir gu bàs ann an co-theacsa na duilleige gnàthach. Bha am frithealaiche smachd ag obair mar sheirbheis falaichte Tor. Le bhith a’ cur an gnìomh còd JavaScript, dh’ fhaodadh luchd-ionnsaigh susbaint foirmean lìn a ghlacadh, eileamaidean neo-riaghailteach a chuir an àite no falach air duilleagan, teachdaireachdan meallta a thaisbeanadh, msaa. Ach, nuair a chaidh mion-sgrùdadh a dhèanamh air a’ chòd droch-rùnach, cha deach ach an còd airson mion-fhiosrachadh QIWI a chuir an àite agus wallets Bitcoin air duilleagan gabhail ri pàigheadh air an darknet. Rè a 'ghnìomh droch-rùnach, chaidh 4.8 Bitcoins a chruinneachadh air na wallets a chaidh a chleachdadh airson ionadachadh, a tha a' freagairt ri mu 40 mìle dolar.
Source: fosgailtenet.ru