Istraživači iz ESET-a distribucija zlonamjernog Tor preglednika koju su izradili nepoznati napadači. Sklop je pozicioniran kao službena ruska verzija Tor Browsera, dok njegovi tvorci nemaju nikakve veze s Tor projektom, a svrha njegovog stvaranja bila je zamijeniti Bitcoin i QIWI novčanike.
Kako bi doveli korisnike u zabludu, kreatori sklopa registrirali su domene tor-browser.org i torproect.org (različite od službene web stranice TorproJect.org zbog odsutnosti slova "J", što mnogi korisnici koji govore ruski ne primjećuju). Dizajn stranica stiliziran je tako da podsjeća na službenu stranicu Tor. Na prvom mjestu prikazana je stranica s upozorenjem o korištenju zastarjele verzije preglednika Tor i prijedlogom za instaliranje ažuriranja (poveznica je vodila do sklopa s trojanskim softverom), a na drugom je sadržaj bio isti kao stranica za preuzimanje Tor preglednik. Zlonamjerni sklop stvoren je samo za Windows.
Od 2017. Trojanac Tor Browser promovira se na raznim forumima na ruskom jeziku, u raspravama vezanim uz darknet, kriptovalute, zaobilaženje blokiranja Roskomnadzora i pitanja privatnosti. Za distribuciju preglednika, pastebin.com je također stvorio mnoge stranice optimizirane za pojavljivanje u vrhunskim tražilicama na teme vezane uz razne ilegalne radnje, cenzuru, imena poznatih političara itd.
Stranice koje reklamiraju fiktivnu verziju preglednika na pastebin.com pregledane su više od 500 tisuća puta.
Fiktivna verzija temeljila se na bazi koda Tor Browser 7.5 i, osim ugrađenih zlonamjernih funkcija, manjih prilagodbi korisničkog agenta, onemogućavanja provjere digitalnog potpisa za dodatke i blokiranja sustava instalacije ažuriranja, bila je identična službenom Tor preglednik. Zlonamjerno umetanje sastojalo se od pripajanja rukovatelja sadržajem standardnom dodatku HTTPS Everywhere (dodatna skripta script.js dodana je u manifest.json). Preostale izmjene su napravljene na razini podešavanja postavki, a svi binarni dijelovi ostali su iz službenog Tor Browsera.
Skripta integrirana u HTTPS Everywhere je prilikom otvaranja svake stranice kontaktirala kontrolni server koji je vraćao JavaScript kod koji bi se trebao izvršiti u kontekstu trenutne stranice. Kontrolni poslužitelj funkcionirao je kao skriveni Tor servis. Izvršavanjem JavaScript koda napadači bi mogli presresti sadržaj web obrazaca, zamijeniti ili sakriti proizvoljne elemente na stranicama, prikazati fiktivne poruke itd. Međutim, prilikom analize zlonamjernog koda zabilježen je samo kod za zamjenu QIWI podataka i Bitcoin novčanika na stranicama za prihvaćanje plaćanja na darknetu. Tijekom zlonamjerne aktivnosti na novčanicima korištenim za zamjenu nakupilo se 4.8 Bitcoina, što odgovara otprilike 40 tisuća dolara.
Izvor: opennet.ru