Peneliti saka ESET distribusi saka Tor Browser angkoro dibangun dening panyerang sing ora dingerteni. Majelis kasebut dipanggonke minangka versi resmi Tor Browser Rusia, nalika pangripta ora ana hubungane karo proyek Tor, lan tujuane nggawe yaiku ngganti dompet Bitcoin lan QIWI.
Kanggo nyasarake pangguna, panyipta rakitan ndhaptar domain tor-browser.org lan torproect.org (beda karo situs web torpro resmiJect.org kanthi ora ana huruf "J", sing ora dingerteni dening akeh pangguna sing nganggo basa Rusia). Desain situs kasebut digawe kaya situs web resmi Tor. Situs pisanan nampilake kaca kanthi bebaya babagan nggunakake versi Tor Browser sing wis lawas lan proposal kanggo nginstal nganyari (link mimpin menyang perakitan karo piranti lunak Trojan), lan ing sisih liya isine padha karo kaca kanggo ngundhuh. Tor Browser. DΓ©wan angkoro digawe mung kanggo Windows.
Wiwit 2017, Trojan Tor Browser wis dipromosikan ing macem-macem forum basa Rusia, ing diskusi sing ana gandhengane karo darknet, cryptocurrencies, ngliwati pamblokiran Roskomnadzor lan masalah privasi. Kanggo nyebarake browser, pastebin.com uga nggawe akeh kaca sing dioptimalake supaya katon ing mesin telusuran paling dhuwur babagan topik sing ana gandhengane karo macem-macem operasi ilegal, penyensoran, jeneng politisi terkenal, lsp.
Kaca-kaca sing ngiklanake versi fiktif saka browser ing pastebin.com dideleng luwih saka 500 ewu kaping.
Bangunan fiktif kasebut adhedhasar basis kode Tor Browser 7.5 lan, saliyane saka fungsi jahat sing dibangun, pangaturan cilik menyang Agen-Pengguna, mateni verifikasi tandha digital kanggo tambahan, lan mblokir sistem instalasi nganyari, padha karo resmi. Tor Browser. Penyisipan angkoro kalebu nglampirake panangan konten menyang add-on standar HTTPS Everywhere (skrip script.js tambahan ditambahake menyang manifest.json). Owah-owahan sing isih ditindakake ing tingkat nyetel setelan, lan kabeh bagean binar tetep saka Browser Tor resmi.
Skrip terintegrasi menyang HTTPS Everywhere, nalika mbukak saben kaca, ngubungi server kontrol, sing ngasilake kode JavaScript sing kudu dieksekusi ing konteks kaca saiki. Server kontrol berfungsi minangka layanan Tor sing didhelikake. Kanthi ngeksekusi kode JavaScript, panyerang bisa nyegat isi formulir web, ngganti utawa ndhelikake unsur sembarang ing kaca, nampilake pesen fiktif, lsp. Nanging, nalika nganalisa kode angkoro, mung kode kanggo ngganti rincian QIWI lan dompet Bitcoin ing kaca pambayaran ing darknet sing direkam. Sajrone kegiatan angkoro, 4.8 Bitcoins akumulasi ing dompet sing digunakake kanggo substitusi, sing cocog karo kira-kira 40 ewu dolar.
Source: opennet.ru