Peneliti dari ESET distribusi rakitan Tor Browser yang berbahaya oleh penyerang tak dikenal. Perakitan tersebut diposisikan sebagai Tor Browser versi resmi Rusia, sementara pembuatnya tidak ada hubungannya dengan proyek Tor, dan tujuan pembuatannya adalah untuk menggantikan dompet Bitcoin dan QIWI.
Untuk menyesatkan pengguna, pembuat majelis mendaftarkan domain tor-browser.org dan torproect.org (berbeda dari situs resmi torproJect.org dengan tidak adanya huruf βJβ, yang luput dari perhatian banyak pengguna berbahasa Rusia). Desain situsnya dibuat menyerupai situs resmi Tor. Situs pertama menampilkan halaman dengan peringatan tentang penggunaan Tor Browser versi lama dan proposal untuk menginstal pembaruan (tautan mengarah ke perakitan dengan perangkat lunak Trojan), dan yang kedua isinya sama dengan halaman untuk mengunduh Peramban Tor. Majelis jahat dibuat hanya untuk Windows.
Sejak 2017, Trojan Tor Browser telah dipromosikan di berbagai forum berbahasa Rusia, dalam diskusi terkait darknet, cryptocurrency, melewati pemblokiran Roskomnadzor, dan masalah privasi. Untuk mendistribusikan browser, pastebin.com juga membuat banyak halaman yang dioptimalkan agar muncul di mesin pencari teratas dengan topik terkait berbagai operasi ilegal, sensor, nama politisi terkenal, dll.
Halaman yang mengiklankan versi browser palsu di pastebin.com telah dilihat lebih dari 500 ribu kali.
Versi fiktif ini didasarkan pada basis kode Tor Browser 7.5 dan, terlepas dari fungsi jahat yang ada di dalamnya, sedikit penyesuaian pada Agen-Pengguna, menonaktifkan verifikasi tanda tangan digital untuk add-on, dan memblokir sistem instalasi pembaruan, sama dengan versi resminya. Peramban Tor. Penyisipan berbahaya terdiri dari melampirkan pengendali konten ke add-on HTTPS Everywhere standar (skrip script.js tambahan ditambahkan ke manifest.json). Perubahan lainnya dilakukan pada tingkat penyesuaian pengaturan, dan semua bagian biner tetap dari Tor Browser resmi.
Skrip yang terintegrasi ke dalam HTTPS Everywhere, saat membuka setiap halaman, menghubungi server kontrol, yang mengembalikan kode JavaScript yang harus dieksekusi dalam konteks halaman saat ini. Server kontrol berfungsi sebagai layanan Tor yang tersembunyi. Dengan mengeksekusi kode JavaScript, penyerang dapat mencegat konten formulir web, mengganti atau menyembunyikan elemen arbitrer di halaman, menampilkan pesan fiktif, dll. Namun, saat menganalisis kode berbahaya, hanya kode pengganti detail QIWI dan dompet Bitcoin pada halaman penerimaan pembayaran di darknet yang dicatat. Selama aktivitas jahat, 4.8 Bitcoin terakumulasi di dompet yang digunakan untuk substitusi, yang setara dengan sekitar 40 ribu dolar.
Sumber: opennet.ru