ESET зерттеушілері белгісіз шабуылдаушылар жасаған зиянды Tor шолғышын тарату. Жинақ Tor шолғышының ресейлік нұсқасы ретінде орналастырылды, ал оны жасаушылардың Tor жобасына ешқандай қатысы жоқ және оны құру мақсаты Bitcoin және QIWI әмияндарын ауыстыру болды.
Пайдаланушыларды адастыру үшін ассамблеяны жасаушылар tor-browser.org және torproect.org (ресми torpro веб-сайтынан басқа) домендерін тіркеді.Ject.org «J» әрпінің болмауына байланысты көптеген орыстілді қолданушылар байқамайды). Сайттардың дизайны Tor ресми веб-сайтына ұқсайтын етіп стильдендірілген. Бірінші сайтта Tor шолғышының ескірген нұсқасын пайдалану туралы ескерту және жаңартуды орнату ұсынысы бар бет (сілтеме трояндық бағдарламалық жасақтамамен құрастыруға әкелді), ал екіншісінде мазмұн жүктеп алуға арналған бетпен бірдей болды. Tor браузері. Зиянды жинақ тек Windows үшін жасалған.
2017 жылдан бастап трояндық Tor браузері әртүрлі орыс тілді форумдарда, darknet, криптовалюталарға қатысты пікірталастарда, Роскомнадзорды бұғаттау және құпиялылық мәселелерін айналып өту арқылы насихатталды. Шолғышты тарату үшін pastebin.com сонымен қатар әртүрлі заңсыз операцияларға, цензураға, танымал саясаткерлердің есімдеріне және т.
pastebin.com сайтындағы браузердің жалған нұсқасын жарнамалайтын беттер 500 мыңнан астам рет қаралды.
Жалған құрастыру Tor Browser 7.5 кодтық базасына негізделген және кіріктірілген зиянды функциялардан басқа, пайдаланушы-агентке аздаған түзетулер, қондырмалар үшін цифрлық қолтаңбаны тексеруді өшіру және жаңартуды орнату жүйесін бұғаттау ресми нұсқамен бірдей болды. Tor браузері. Зиянды кірістіру стандартты HTTPS Everywhere қондырмасына мазмұн өңдегішін тіркеуден тұрды (manifest.json файлына қосымша script.js сценарийі қосылды). Қалған өзгерістер параметрлерді реттеу деңгейінде жасалды және барлық екілік бөліктер ресми Tor шолғышында қалды.
HTTPS Everywhere жүйесіне біріктірілген сценарий әрбір бетті ашқан кезде ағымдағы бет контекстінде орындалуы керек JavaScript кодын қайтаратын басқару серверімен байланысады. Басқару сервері жасырын Tor қызметі ретінде жұмыс істеді. JavaScript кодын орындау арқылы шабуылдаушылар веб-пішіндердің мазмұнын ұстай алады, беттердегі ерікті элементтерді ауыстыра алады немесе жасыра алады, жалған хабарламаларды көрсете алады және т.б. Дегенмен, зиянды кодты талдау кезінде darknet желісіндегі төлемдерді қабылдау беттеріндегі QIWI мәліметтері мен Bitcoin әмияндарын ауыстыру коды ғана жазылған. Зиянды әрекет кезінде ауыстыру үшін пайдаланылатын әмияндарда 4.8 биткоин жинақталған, бұл шамамен 40 мың долларға сәйкес келеді.
Ақпарат көзі: opennet.ru