Investigadores de ESET distribución dun navegador Tor malicioso creado por atacantes descoñecidos. A montaxe situouse como a versión oficial rusa do navegador Tor, mentres que os seus creadores non teñen nada que ver co proxecto Tor, e o propósito da súa creación era substituír as carteiras Bitcoin e QIWI.
Para enganar aos usuarios, os creadores da asemblea rexistraron os dominios tor-browser.org e torproect.org (diferente do sitio web oficial de torproJect.org pola ausencia da letra "J", que pasa desapercibida para moitos usuarios de fala rusa). O deseño dos sitios foi estilizado para parecerse ao sitio web oficial de Tor. O primeiro sitio mostraba unha páxina cunha advertencia sobre o uso dunha versión desactualizada do navegador Tor e unha proposta para instalar unha actualización (a ligazón levaba a unha montaxe con software troiano), e no segundo o contido era o mesmo que a páxina para descargar. Navegador Tor. O conxunto malicioso foi creado só para Windows.
Desde 2017, o navegador Trojan Tor foi promovido en varios foros en lingua rusa, en discusións relacionadas coa darknet, as criptomoedas, evitando o bloqueo de Roskomnadzor e os problemas de privacidade. Para distribuír o navegador, pastebin.com tamén creou moitas páxinas optimizadas para aparecer nos principais buscadores sobre temas relacionados con diversas operacións ilegais, censura, nomes de políticos famosos, etc.
As páxinas que anuncian unha versión ficticia do navegador en pastebin.com foron vistas máis de 500 mil veces.
A compilación ficticia baseouse na base de código Tor Browser 7.5 e, ademais das funcións maliciosas integradas, pequenos axustes no User-Agent, desactivando a verificación de sinatura dixital dos complementos e bloqueando o sistema de instalación da actualización, era idéntico ao oficial. Navegador Tor. A inserción maliciosa consistiu en anexar un controlador de contido ao complemento estándar HTTPS Everywhere (engadiuse un script script.js adicional a manifest.json). Os cambios restantes fixéronse no nivel de axuste da configuración e todas as partes binarias quedaron do navegador Tor oficial.
O script integrado en HTTPS Everywhere, ao abrir cada páxina, púxose en contacto co servidor de control, que devolveu código JavaScript que debería executarse no contexto da páxina actual. O servidor de control funcionaba como un servizo Tor oculto. Ao executar código JavaScript, os atacantes poderían interceptar o contido dos formularios web, substituír ou ocultar elementos arbitrarios nas páxinas, mostrar mensaxes ficticias, etc. Non obstante, ao analizar o código malicioso, só se rexistrou o código para substituír os detalles QIWI e as carteiras de Bitcoin nas páxinas de aceptación de pagos na darknet. Durante a actividade maliciosa, acumuláronse 4.8 Bitcoins nas carteiras utilizadas para a substitución, o que corresponde a aproximadamente 40 mil dólares.
Fonte: opennet.ru