Tyrėjai iš ESET kenkėjiškos „Tor“ naršyklės versijos platinimas, kurį sukūrė nežinomi užpuolikai. Asamblėja buvo išdėstyta kaip oficiali rusiška Tor Browser versija, o jos kūrėjai neturi nieko bendra su Tor projektu, o jo sukūrimo tikslas buvo pakeisti Bitcoin ir QIWI pinigines.
Norėdami suklaidinti vartotojus, asamblėjos kūrėjai užregistravo domenus tor-browser.org ir torproect.org (skirtingus oficialioje torpro svetainėjeJect.org, nes nėra raidės „J“, kurios daugelis rusakalbių vartotojų nepastebi). Svetainių dizainas buvo stilizuotas taip, kad būtų panašus į oficialią „Tor“ svetainę. Pirmoje svetainėje buvo rodomas puslapis su įspėjimu apie pasenusios „Tor Browser“ versijos naudojimą ir pasiūlymu įdiegti naujinimą (nuoroda veda į surinkimą su Trojos programine įranga), o antrosios turinys buvo toks pat kaip atsisiuntimo puslapio. Tor naršyklė. Kenkėjiškas rinkinys buvo sukurtas tik „Windows“.
Nuo 2017 metų „Trojan Tor Browser“ buvo reklamuojama įvairiuose rusų kalbos forumuose, diskusijose, susijusiose su „darknet“, kriptovaliutomis, apeinant „Roskomnadzor“ blokavimo ir privatumo problemas. Naršyklės platinimui pastebin.com taip pat sukūrė daugybę puslapių, optimizuotų atsidurti geriausiuose paieškos sistemose temomis, susijusiomis su įvairiomis nelegaliomis operacijomis, cenzūra, žinomų politikų pavardėmis ir kt.
Puslapiai, reklamuojantys fiktyvią naršyklės versiją pastebin.com, buvo peržiūrėti daugiau nei 500 tūkstančių kartų.
Fiktyvi versija buvo pagrįsta „Tor Browser 7.5“ kodų baze ir, be integruotų kenkėjiškų funkcijų, nedideli „User-Agent“ koregavimai, priedų skaitmeninio parašo tikrinimo išjungimas ir naujinimų diegimo sistemos blokavimas buvo identiški oficialiems. Tor naršyklė. Kenkėjišką įterpimą sudarė turinio tvarkyklės pridėjimas prie standartinio HTTPS Everywhere priedo (prie manifest.json buvo pridėtas papildomas scenarijus script.js). Likę pakeitimai buvo atlikti nustatymų koregavimo lygiu, o visos dvejetainės dalys liko iš oficialios „Tor“ naršyklės.
Į „HTTPS Everywhere“ integruotas scenarijus susisiekdavo su valdymo centru atidarant kiekvieną puslapį. serveris, kuris grąžino „JavaScript“ kodą, kuris turėjo būti vykdomas dabartinio puslapio kontekste. Komandų ir valdymo serveris veikė kaip paslėpta „Tor“ paslauga. Vykdydami „JavaScript“ kodą, užpuolikai galėjo perimti žiniatinklio formų turinį, pakeisti arba paslėpti savavališkus elementus puslapiuose, rodyti netikrus pranešimus ir pan. Tačiau kenkėjiško kodo analizė aptiko tik kodą, skirtą QIWI ir „Bitcoin“ piniginės duomenų pakeitimui mokėjimų priėmimo puslapiuose tamsiajame internete. Kenkėjiškos veiklos metu pakeitimui naudojamose piniginėse buvo sukaupta 4.8 bitkoino, tai atitinka maždaug 40 000 JAV dolerių.
Šaltinis: opennet.ru
