Vísindamenn frá ESET dreifingu illgjarns Tor vafra sem er smíðaður af óþekktum árásarmönnum. Þingið var staðsett sem opinber rússnesk útgáfa af Tor Browser, á meðan höfundar þess hafa ekkert með Tor verkefnið að gera, og tilgangurinn með stofnun þess var að skipta um Bitcoin og QIWI veski.
Til að villa um fyrir notendum skráðu höfundar þingsins lénin tor-browser.org og torproect.org (öðruvísi en opinberu torpro vefsíðunaJect.org vegna fjarveru bókstafsins „J“, sem fer fram hjá mörgum rússneskumælandi notendum). Hönnun síðanna var stílfærð til að líkjast opinberu Tor vefsíðunni. Fyrsta vefsíðan sýndi síðu með viðvörun um að nota úrelta útgáfu af Tor vafra og tillögu um að setja upp uppfærslu (tengillinn leiddi til samsetningar með Trójuhugbúnaði), og á þeirri seinni var efnið það sama og síðuna til að hlaða niður Tor vafri. Illgjarn samsetning var aðeins búin til fyrir Windows.
Síðan 2017 hefur Trojan Tor vafri verið kynntur á ýmsum spjallborðum á rússnesku, í umræðum sem tengjast myrkranetinu, dulritunargjaldmiðlum, framhjá Roskomnadzor-lokun og persónuverndarmálum. Til að dreifa vafranum bjó pastebin.com einnig til margar síður sem voru fínstilltar til að birtast í efstu leitarvélunum um efni sem tengjast ýmsum ólöglegum aðgerðum, ritskoðun, nöfnum frægra stjórnmálamanna o.s.frv.
Síður sem auglýsa ímyndaða útgáfu af vafranum á pastebin.com voru skoðaðar meira en 500 þúsund sinnum.
Skáldsmíðin var byggð á Tor Browser 7.5 kóðagrunninum og, fyrir utan innbyggða skaðlega aðgerðir, voru minniháttar breytingar á notendaumboðsmanni, slökkva á stafrænni undirskriftarstaðfestingu fyrir viðbætur og lokun á uppsetningarkerfi uppfærslunnar, eins og hið opinbera. Tor vafri. Skaðleg innsetning fólst í því að tengja efnismeðferðaraðila við staðlaða HTTPS Everywhere viðbótina (viðbótar script.js handriti var bætt við manifest.json). Breytingarnar sem eftir voru voru gerðar á því stigi að stilla stillingarnar og allir tvöfaldir hlutar voru eftir frá opinbera Tor vafranum.
Handritið var samþætt í HTTPS Everywhere, þegar hverja síðu var opnuð, hafði samband við stjórnþjóninn, sem skilaði JavaScript kóða sem ætti að keyra í samhengi við núverandi síðu. Stýriþjónninn virkaði sem falin Tor þjónusta. Með því að keyra JavaScript kóða gætu árásarmenn stöðvað innihald vefeyðublaða, komið í staðinn fyrir eða falið handahófskennda þætti á síðum, birt gerviskilaboð o.s.frv. Hins vegar, þegar illgjarn kóða var greind, var aðeins kóðinn til að skipta um QIWI upplýsingar og Bitcoin veski á greiðslusamþykktarsíðum á darknetinu skráður. Meðan á illgjarnri starfsemi stóð söfnuðust 4.8 Bitcoins á veskið sem notað var til að skipta út, sem samsvarar um það bil 40 þúsund dollurum.
Heimild: opennet.ru