Az ESET kutatói egy rosszindulatú Tor Browser build terjesztése ismeretlen támadók által. A szerelvényt a Tor Browser hivatalos orosz verziójaként pozícionálták, míg készítőinek semmi közük a Tor projekthez, létrehozásának célja a Bitcoin és a QIWI pénztárcák leváltása volt.
A felhasználók félrevezetése érdekében az összeállítás létrehozói a tor-browser.org és a torproect.org domaineket regisztrálták (a torpro hivatalos webhelyétől eltérőJect.org a „J” betű hiánya miatt, amelyet sok oroszul beszélő felhasználó nem vesz észre). Az oldalak kialakítását úgy stilizálták, hogy hasonlítsanak a hivatalos Tor webhelyre. Az első oldalon megjelent egy oldal a Tor Browser elavult verziójának használatára vonatkozó figyelmeztetéssel és egy frissítés telepítésére vonatkozó javaslattal (a link egy trójai szoftvert tartalmazó összeállításhoz vezetett), a másodikon pedig a tartalom megegyezett a letölthető oldallal. Tor böngésző. A rosszindulatú összeállítás csak Windowshoz készült.
2017 óta a Trojan Tor Browser-t különböző orosz nyelvű fórumokon népszerűsítik, a darknettel, a kriptovalutákkal kapcsolatos vitákban, megkerülve a Roskomnadzor blokkolását és az adatvédelmi kérdéseket. A böngésző terjesztésére a pastebin.com számos olyan oldalt is készített, amelyek a legnépszerűbb keresőkben való megjelenésre lettek optimalizálva különféle illegális műveletekkel, cenzúrával, híres politikusok nevével stb.
A pastebin.com-on a böngésző fiktív verzióját hirdető oldalakat több mint 500 ezer alkalommal nézték meg.
A fiktív build a Tor Browser 7.5 kódbázisán alapult, és a beépített rosszindulatú funkcióktól eltekintve a User-Agent kisebb módosításai, a kiegészítők digitális aláírás-ellenőrzésének letiltása és a frissítés telepítőrendszerének blokkolása megegyezett a hivatalosal Tor böngésző. A rosszindulatú beillesztés abból állt, hogy tartalomkezelőt csatoltak a szabványos HTTPS Everywhere-bővítményhez (egy további script.js szkriptet adtak hozzá a manifest.json fájlhoz). A többi változtatás a beállítások módosításának szintjén történt, és az összes bináris rész a hivatalos Tor böngészőből maradt.
A HTTPS Everywhere-be integrált szkript minden oldal megnyitásakor felvette a kapcsolatot a vezérlőszerverrel, amely JavaScript kódot adott vissza, amelyet az aktuális oldal kontextusában kell végrehajtani. A vezérlőszerver rejtett Tor szolgáltatásként működött. JavaScript kód futtatásával a támadók elfoghatják a webes űrlapok tartalmát, tetszőleges elemeket helyettesíthetnek vagy elrejthetnek az oldalakon, fiktív üzeneteket jeleníthetnek meg stb. A rosszindulatú kód elemzésekor azonban csak a QIWI-adatok és a Bitcoin pénztárcák helyettesítésére szolgáló kódot rögzítették a darknet fizetési elfogadó oldalain. A rosszindulatú tevékenység során 4.8 bitcoin halmozódott fel a helyettesítésre használt pénztárcákon, ami megközelítőleg 40 ezer dollárnak felel meg.
Forrás: opennet.ru