Fuerscher vun ESET
Fir d'Benotzer ze täuschen, hunn d'Creatoren vun der Assemblée d'Domaen registréiert tor-browser.org an torproect.org (ënnerscheed vun der offizieller Torpro WebsäitJect.org duerch d'Feele vum Bréif "J", dee vu ville russeschsproochege Benotzer onnotéiert ass). Den Design vun de Site gouf stiliséiert fir op déi offiziell Tor Websäit ze gleewen. Déi éischt Säit huet eng Säit ugewisen mat enger Warnung iwwer d'Benotzung vun enger aler Versioun vum Tor Browser an enger Propositioun fir en Update z'installéieren (de Link huet zu enger Versammlung mat Trojaner Software gefouert), an op der zweeter war den Inhalt d'selwecht wéi d'Säit fir den Download Tor Browser. Déi béiswëlleg Versammlung gouf nëmme fir Windows erstallt.
Zënter 2017 ass den Trojaner Tor Browser op verschiddene russeschsproochege Foren gefördert ginn, an Diskussiounen am Zesummenhang mam Darknet, Krypto-Währungen, ëmgoen Roskomnadzor Blocking a Privatsphärprobleemer. Fir de Browser ze verdeelen, huet pastebin.com och vill Säiten erstallt optimiséiert fir an den Top Sichmotoren op Themen am Zesummenhang mat verschiddenen illegalen Operatiounen, Zensur, d'Nimm vu berühmte Politiker, etc.
Säiten déi eng fiktiv Versioun vum Browser op pastebin.com annoncéieren goufen méi wéi 500 Tausend Mol gekuckt.
De fiktive Build war op der Tor Browser 7.5 Codebase baséiert an, ausser agebaute béisaarteg Funktiounen, kleng Upassunge vum User-Agent, d'Digital Ënnerschrëft Verifizéierung fir Add-ons auszeschalten an den Update Installatiounssystem blockéieren, war identesch mat dem offiziellen. Tor Browser. Déi béiswëlleg Insertion bestoung aus der Befestegung vun engem Inhaltshandter un de Standard HTTPS Everywhere Add-on (en zousätzleche script.js Skript gouf op manifest.json bäigefüügt). Déi verbleiwen Ännerunge goufen um Niveau vun der Upassung vun den Astellungen gemaach, an all binär Deeler bliwwen vum offiziellen Tor Browser.
De Skript integréiert an HTTPS Iwwerall, wann Dir all Säit opmaacht, kontaktéiert de Kontrollserver, deen JavaScript Code zréckginn, deen am Kontext vun der aktueller Säit ausgefouert soll ginn. De Kontrollserver funktionnéiert als e verstoppte Tor Service. Andeems Dir JavaScript Code ausféiert, kënnen Ugräifer den Inhalt vu Webformulairen ofbriechen, arbiträr Elementer op Säiten ersetzen oder verstoppen, fiktiv Messagen weisen, asw. Wéi och ëmmer, wann Dir de béise Code analyséiert, gouf nëmmen de Code fir d'Ersatz vun QIWI Detailer a Bitcoin Portemonnaien op Bezuelungsakzeptanzsäiten am Darknet opgeholl. Wärend der béiswëlleg Aktivitéit goufen 4.8 Bitcoins op de Portemonnaie gesammelt, déi fir d'Auswiesselung benotzt ginn, wat ongeféier 40 Tausend Dollar entsprécht.
Source: opennet.ru