Ricercatori dell'ESET
Per ingannare gli utenti, gli ideatori dell'assembly hanno registrato i domini tor-browser.org e torproect.org (diversi dal sito ufficiale torproJect.org per l'assenza della lettera βJβ, che passa inosservata a molti utenti di lingua russa). Il design dei siti Γ¨ stato stilizzato per assomigliare al sito web ufficiale di Tor. Sul primo sito veniva visualizzata una pagina con un avviso sull'utilizzo di una versione obsoleta di Tor Browser e una proposta per l'installazione di un aggiornamento (il collegamento portava a un incontro con il software Trojan), mentre sul secondo il contenuto era lo stesso della pagina per il download Browser Tor. L'assembly dannoso Γ¨ stato creato solo per Windows.
Dal 2017, il Trojan Tor Browser viene promosso su vari forum in lingua russa, in discussioni relative alla darknet, alle criptovalute, al bypass del blocco Roskomnadzor e ai problemi di privacy. Per distribuire il browser, pastebin.com ha anche creato molte pagine ottimizzate per apparire nei principali motori di ricerca su argomenti relativi a varie operazioni illegali, censura, nomi di politici famosi, ecc.
Le pagine che pubblicizzavano una versione fittizia del browser su pastebin.com sono state visualizzate piΓΉ di 500mila volte.
La build fittizia era basata sul codice base di Tor Browser 7.5 e, a parte le funzioni dannose integrate, piccoli aggiustamenti allo User-Agent, la disabilitazione della verifica della firma digitale per i componenti aggiuntivi e il blocco del sistema di installazione degli aggiornamenti, era identica a quella ufficiale Browser Tor. L'inserimento dannoso consisteva nel collegare un gestore di contenuti al componente aggiuntivo standard HTTPS Everywhere (uno script script.js aggiuntivo Γ¨ stato aggiunto a manifest.json). Le restanti modifiche sono state apportate a livello di regolazione delle impostazioni e tutte le parti binarie sono rimaste dal Tor Browser ufficiale.
Lo script integrato in HTTPS Everywhere, all'apertura di ogni pagina, contattava il server di controllo, che restituiva il codice JavaScript che doveva essere eseguito nel contesto della pagina corrente. Il server di controllo funzionava come un servizio Tor nascosto. Eseguendo il codice JavaScript gli aggressori potrebbero intercettare il contenuto dei moduli web, sostituire o nascondere elementi arbitrari sulle pagine, visualizzare messaggi fittizi, ecc. Tuttavia, durante l'analisi del codice dannoso, Γ¨ stato registrato solo il codice per la sostituzione dei dettagli QIWI e dei portafogli Bitcoin nelle pagine di accettazione dei pagamenti nella darknet. Nel corso dell'attivitΓ malevola sono stati accumulati sui wallet utilizzati per la sostituzione 4.8 Bitcoin, che corrispondono a circa 40mila dollari.
Fonte: opennet.ru