Lêkolînerên ji ESET belavkirina avahiyek Tor Browser a xerab ji hêla êrîşkarên nenas ve. Civîn wekî guhertoya fermî ya Rûsî ya Tor Browser hate danîn, di heman demê de ku afirînerên wê tiştek bi projeya Tor-ê re tune ne, û mebesta afirandina wê ew bû ku li şûna walletên Bitcoin û QIWI bigire.
Ji bo xapandina bikarhêneran, afirînerên meclîsê domainên tor-browser.org û torproect.org tomar kirin (ji malpera fermî torpro cuda yeJect.org ji ber nebûna tîpa "J", ku ji hêla gelek bikarhênerên rûsî-axaftin ve nayê dîtin). Sêwirana malperan hate stîlîzekirin ku dişibihe malpera fermî ya Tor. Malpera yekem rûpelek bi hişyariya karanîna guhertoyek kevnare ya Tor Browser û pêşniyarek ji bo sazkirina nûvekirinek nîşan da (girêdan rê li meclîsek bi nermalava Trojan vekir), û di ya duyemîn de jî naverok heman rûpelê ji bo dakêşanê bû. Geroka Tor. Civîna xerab tenê ji bo Windows-ê hate afirandin.
Ji sala 2017-an vir ve, Gerokê Trojan Tor li ser forumên cihêreng ên bi zimanê rûsî, di nîqaşên têkildarî tarîtî, diravên krîptoyê, derbaskirina astengkirina Roskomnadzor û pirsgirêkên nepenîtiyê de tê pêşve xistin. Ji bo belavkirina gerokê, pastebin.com di heman demê de gelek rûpel çêkir ku di motorên lêgerînê yên jorîn de li ser mijarên têkildarî operasyonên cihêreng ên neqanûnî, sansûr, navên siyasetmedarên navdar, hwd.
Rûpelên ku guhertoyek xeyalî ya gerokê li ser pastebin.com reklam dikin ji 500 hezarî zêdetir caran hatine dîtin.
Avakirina xeyalî li ser bingeha koda Tor Browser 7.5-ê bû û, ji xeynî fonksiyonên xirab ên çêkirî, verastkirinên piçûk ên Bikarhêner-Agent, neçalakkirina verastkirina îmzaya dîjîtal ji bo pêvekan, û astengkirina pergala sazkirinê ya nûvekirinê, bi ya fermî re wekhev bû. Geroka Tor. Têketina xerab ji girêdana naverokê bi pêveka standard HTTPS Everywhere pêk dihat (nivîskarek script.js ya din li manifest.json hate zêdekirin). Guhertinên mayî di asta verastkirina mîhengan de hatin çêkirin, û hemî beşên binary ji Geroka Tor a fermî mane.
Skrîpta ku di HTTPS Everywhere de hatî yek kirin, dema ku her rûpelê vekir, bi servera kontrolê re têkilî danî, ku koda JavaScriptê ya ku divê di çarçoweya rûpela heyî de were darve kirin vedigere. Pêşkêşkara kontrolê wekî karûbarek Tor ya veşartî xebitî. Bi pêkanîna koda JavaScriptê, êrîşkar dikaribûn naveroka formên malperê bişopînin, hêmanên keyfî li ser rûpelan biguhezînin an veşêrin, peyamên xeyalî nîşan bidin, hwd. Lêbelê, dema ku koda xirab tê analîz kirin, tenê koda ji bo cîgirkirina hûrguliyên QIWI û berîkên Bitcoin li ser rûpelên pejirandina dravdanê li ser tariyê hate tomar kirin. Di dema çalakiya xirab de, 4.8 Bitcoin li ser berîkên ku ji bo xapandinê têne bikar anîn hatin kom kirin, ku bi qasî 40 hezar dolar e.
Source: opennet.ru