ESET изилдөөчүлөрү белгисиз чабуулчулар тарабынан түзүлгөн зыяндуу Tor Браузеринин таркатылышы. Ассамблея Tor Браузеринин расмий орус версиясы катары жайгаштырылган, ал эми аны жаратуучулар Tor долбоору менен эч кандай байланышы жок жана аны түзүүнүн максаты Bitcoin жана QIWI капчыктарын алмаштыруу болгон.
Колдонуучуларды адаштырыш үчүн ассамблеянын жаратуучулары tor-browser.org жана torproect.org домендерин катташкан (официалдуу torpro веб-сайтынан айырмаланып).Ject.org көп орус тилдүү колдонуучулар байкабай калган "J" тамгасынын жоктугу менен). Сайттардын дизайны расмий Tor веб-сайтына окшоштурулган. Биринчи сайтта Tor Браузеринин эскирген версиясын колдонуу жөнүндө эскертүү жана жаңыртууну орнотуу сунушу бар баракты көрсөттү (шилтеме трояндык программалык камсыздоону чогултууга алып келди), ал эми экинчисинде мазмун жүктөө баракчасына окшош болгон. Tor браузери. Зыяндуу жыйын Windows үчүн гана түзүлгөн.
2017-жылдан бери Trojan Tor Браузер ар кандай орус тилдүү форумдарда, darknet, криптовалюталар боюнча талкууларда, Роскомнадзорду бөгөттөө жана купуялуулук маселелерин айланып өтүү менен илгериледи. Браузерди жайылтуу үчүн pastebin.com ошондой эле ар кандай мыйзамсыз операцияларга, цензурага, белгилүү саясатчылардын ысымдарына ж.
Pastebin.com сайтында браузердин ойдон чыгарылган версиясын жарнамалаган баракчалар 500 миңден ашык жолу көрүлгөн.
Ойдон чыгарылган түзүлүш Tor Browser 7.5 код базасына негизделген жана орнотулган зыяндуу функциялардан тышкары, Колдонуучу-Агентке кичине оңдоолор, кошумчалар үчүн санарип колтамгасын текшерүүнү өчүрүү жана жаңыртууларды орнотуу тутумун бөгөттөө расмий веб-сайтка окшош эле. Tor браузери. Зыяндуу киргизүү стандарттык HTTPS Everywhere кошумчасына мазмун иштеткичти тиркөөдөн турган (manifest.json файлына кошумча script.js скрипти кошулган). Калган өзгөртүүлөр орнотууларды тууралоо деңгээлинде жасалган жана бардык экилик бөлүктөрү расмий Tor Браузеринде калган.
Бардык жерде HTTPS менен интеграцияланган скрипт, ар бир баракты ачып жатканда, башкаруу сервери менен байланышты, ал учурдагы барактын контекстинде аткарылышы керек болгон JavaScript кодун кайтарды. Башкаруу сервери жашыруун Tor кызматы катары иштеген. JavaScript кодун ишке ашыруу менен чабуулчулар веб формалардын мазмунун кармап алышы мүмкүн, барактардагы ыктыярдуу элементтерди алмаштырып же жашырып, ойдон чыгарылган билдирүүлөрдү ж.б. көрсөтө алышат. Бирок, зыяндуу кодду талдоодо, darknet тармагындагы төлөмдөрдү кабыл алуу баракчаларында QIWI реквизиттерин жана Bitcoin капчыктарды алмаштыруучу код гана жазылган. Зыяндуу иш-аракеттердин жүрүшүндө 4.8 биткойндор спуфинг үчүн колдонулган капчыктарда топтолгон, бул болжол менен 40 миң долларга туура келет.
Source: opennet.ru