ESETの研究者 未知の攻撃者による悪意のある Tor ブラウザ ビルドの配布。 このアセンブリは Tor ブラウザの公式ロシア版として位置付けられましたが、その作成者は Tor プロジェクトとは何の関係もなく、その作成の目的はビットコインと QIWI ウォレットを置き換えることでした。
ユーザーを誤解させるために、アセンブリの作成者は、tor-browser.org および torproect.org (torpro の公式 Web サイトとは異なるドメイン) を登録しました。Ject.org には文字「J」がないため、ロシア語を話す多くのユーザーはこれに気づきません)。 サイトのデザインは、Tor の公式 Web サイトに似せて様式化されました。 最初のサイトには、Tor ブラウザの古いバージョンの使用に関する警告と、アップデートのインストールを提案するページが表示され (リンクはトロイの木馬ソフトウェアを含むアセンブリに誘導されました)、XNUMX 番目のサイトでは、コンテンツはダウンロード用のページと同じでした。 Torブラウザ。 悪意のあるアセンブリは Windows 用にのみ作成されました。
2017 年以来、トロイの木馬 Tor ブラウザは、さまざまなロシア語フォーラムで、ダークネット、暗号通貨、Roskomnadzor ブロックのバイパス、プライバシー問題に関連する議論の中で宣伝されてきました。 ブラウザを配布するために、pastebin.com は、さまざまな違法行為、検閲、有名な政治家の名前などに関連するトピックについて、上位の検索エンジンに表示されるように最適化された多くのページも作成しました。
Pastebin.com 上の架空のバージョンのブラウザを宣伝するページは、500 万回以上閲覧されました。
架空のビルドは Tor ブラウザ 7.5 コードベースに基づいており、悪意のある機能が組み込まれている点、ユーザー エージェントへの微調整、アドオンのデジタル署名検証の無効化、アップデートのインストール システムのブロックを除けば、公式のものと同一でした。 Torブラウザ。 悪意のある挿入は、コンテンツ ハンドラーを標準の HTTPS Everywhere アドオンにアタッチすることで構成されていました (追加の script.js スクリプトが manifest.json に追加されました)。 残りの変更は設定を調整するレベルで行われ、すべてのバイナリ部分は公式 Tor ブラウザからそのまま残されました。
HTTPS Everywhere に統合されたスクリプトは、各ページを開くときにコントロール サーバーに接続し、現在のページのコンテキストで実行される JavaScript コードを返します。 コントロール サーバーは、隠れた Tor サービスとして機能しました。 攻撃者は JavaScript コードを実行することで、Web フォームのコンテンツを傍受したり、ページ上の任意の要素を置き換えたり非表示にしたり、架空のメッセージを表示したりする可能性があります。 しかし、悪意のあるコードを分析したところ、ダークネット上の支払い受付ページにあるQIWIの詳細とビットコインウォレットを置き換えるコードのみが記録されていました。 悪意のある活動中に、代替に使用されたウォレットに 4.8 ビットコインが蓄積されました。これは約 40 万ドルに相当します。
出所: オープンネット.ru