ESET-ի հետազոտողներ անհայտ հարձակվողների կողմից չարամիտ Tor բրաուզերի կառուցման բաշխում: Համագումարը դիրքավորվել է որպես Tor Browser-ի պաշտոնական ռուսերեն տարբերակ, մինչդեռ դրա ստեղծողները ոչ մի կապ չունեն Tor նախագծի հետ, և դրա ստեղծման նպատակն էր փոխարինել Bitcoin և QIWI դրամապանակները:
Օգտագործողներին մոլորեցնելու համար ժողովի ստեղծողները գրանցել են tor-browser.org և torproect.org տիրույթները (տարբերվում են torpro պաշտոնական կայքից։Ject.org-ը «J» տառի բացակայությամբ, որն աննկատ է մնում ռուսալեզու շատ օգտատերերի կողմից): Կայքերի դիզայնը ոճավորվել է Tor-ի պաշտոնական կայքին նմանվելու համար: Առաջին կայքը ցուցադրում էր էջ՝ նախազգուշացումով Tor Browser-ի հնացած տարբերակ օգտագործելու մասին և թարմացում տեղադրելու առաջարկով (հղումը հանգեցրեց տրոյական ծրագրաշարով հավաքման), իսկ երկրորդում բովանդակությունը նույնն էր, ինչ ներբեռնման էջը։ Tor բրաուզեր. Վնասակար ժողովը ստեղծվել է միայն Windows-ի համար:
2017 թվականից ի վեր Trojan Tor Browser-ը գովազդվում է ռուսալեզու տարբեր ֆորումներում, darknet-ի, կրիպտոարժույթների հետ կապված քննարկումներում, շրջանցելով Ռոսկոմնադզորի արգելափակումը և գաղտնիության խնդիրները: Բրաուզերը տարածելու համար pastebin.com-ը նաև ստեղծեց բազմաթիվ էջեր, որոնք օպտիմիզացված են հայտնվելու լավագույն որոնման համակարգերում՝ տարբեր անօրինական գործողությունների, գրաքննության, հայտնի քաղաքական գործիչների անունների և այլնի հետ կապված թեմաներով:
pastebin.com-ում բրաուզերի հորինված տարբերակը գովազդող էջերը դիտվել են ավելի քան 500 հազար անգամ։
Հորինված կառուցվածքը հիմնված էր Tor Browser 7.5 կոդերի բազայի վրա և, բացի ներկառուցված վնասակար գործառույթներից, User-Agent-ի աննշան ճշգրտումներից, հավելումների համար թվային ստորագրության ստուգումն անջատելուց և թարմացման տեղադրման համակարգի արգելափակումից, նույնական էր պաշտոնականին: Tor բրաուզեր. Վնասակար ներդիրը բաղկացած էր բովանդակության մշակիչի կցումից ստանդարտ HTTPS Everywhere հավելումին (մի լրացուցիչ script.js սկրիպտ է ավելացվել manifest.json-ին): Մնացած փոփոխությունները կատարվել են կարգավորումների ճշգրտման մակարդակում, և բոլոր երկուական մասերը մնացել են պաշտոնական Tor Browser-ից։
HTTPS Everywhere-ում ինտեգրված սկրիպտը, յուրաքանչյուր էջ բացելիս, կապվում էր կառավարման սերվերի հետ, որը վերադարձրեց JavaScript կոդը, որը պետք է կատարվի ընթացիկ էջի համատեքստում: Կառավարման սերվերը գործում էր որպես թաքնված Tor ծառայություն: Կատարելով JavaScript կոդը՝ հարձակվողները կարող են գաղտնալսել վեբ ձևերի բովանդակությունը, փոխարինել կամ թաքցնել կամայական տարրերը էջերում, ցուցադրել մտացածին հաղորդագրություններ և այլն: Այնուամենայնիվ, վնասակար կոդը վերլուծելիս գրանցվել է միայն QIWI-ի մանրամասները և բիթքոյն դրամապանակները darknet-ի վճարումների ընդունման էջերում փոխարինելու ծածկագիրը: Վնասակար գործունեության ընթացքում փոխարինման համար օգտագործվող դրամապանակներում կուտակվել է 4.8 բիթքոյն, որը համապատասխանում է մոտավորապես 40 հազար դոլարի։
Source: opennet.ru