Tyrėjai iš ESET
Norėdami suklaidinti vartotojus, asamblėjos kūrėjai užregistravo domenus tor-browser.org ir torproect.org (skirtingus oficialioje torpro svetainėjeJect.org, nes nėra raidės „J“, kurios daugelis rusakalbių vartotojų nepastebi). Svetainių dizainas buvo stilizuotas taip, kad būtų panašus į oficialią „Tor“ svetainę. Pirmoje svetainėje buvo rodomas puslapis su įspėjimu apie pasenusios „Tor Browser“ versijos naudojimą ir pasiūlymu įdiegti naujinimą (nuoroda veda į surinkimą su Trojos programine įranga), o antrosios turinys buvo toks pat kaip atsisiuntimo puslapio. Tor naršyklė. Kenkėjiškas rinkinys buvo sukurtas tik „Windows“.
Nuo 2017 metų „Trojan Tor Browser“ buvo reklamuojama įvairiuose rusų kalbos forumuose, diskusijose, susijusiose su „darknet“, kriptovaliutomis, apeinant „Roskomnadzor“ blokavimo ir privatumo problemas. Naršyklės platinimui pastebin.com taip pat sukūrė daugybę puslapių, optimizuotų atsidurti geriausiuose paieškos sistemose temomis, susijusiomis su įvairiomis nelegaliomis operacijomis, cenzūra, žinomų politikų pavardėmis ir kt.
Puslapiai, reklamuojantys fiktyvią naršyklės versiją pastebin.com, buvo peržiūrėti daugiau nei 500 tūkstančių kartų.
Fiktyvi versija buvo pagrįsta „Tor Browser 7.5“ kodų baze ir, be integruotų kenkėjiškų funkcijų, nedideli „User-Agent“ koregavimai, priedų skaitmeninio parašo tikrinimo išjungimas ir naujinimų diegimo sistemos blokavimas buvo identiški oficialiems. Tor naršyklė. Kenkėjišką įterpimą sudarė turinio tvarkyklės pridėjimas prie standartinio HTTPS Everywhere priedo (prie manifest.json buvo pridėtas papildomas scenarijus script.js). Likę pakeitimai buvo atlikti nustatymų koregavimo lygiu, o visos dvejetainės dalys liko iš oficialios „Tor“ naršyklės.
Į HTTPS visur integruotas scenarijus, atidarant kiekvieną puslapį, susisiekė su valdymo serveriu, kuris grąžino JavaScript kodą, kuris turėtų būti vykdomas esamo puslapio kontekste. Valdymo serveris veikė kaip paslėpta „Tor“ paslauga. Vykdydami „JavaScript“ kodą, užpuolikai gali perimti žiniatinklio formų turinį, pakeisti arba paslėpti savavališkus puslapių elementus, rodyti fiktyvius pranešimus ir pan. Tačiau analizuojant kenkėjišką kodą buvo įrašytas tik kodas, pakeičiantis QIWI duomenis ir „Bitcoin“ pinigines „darknet“ mokėjimo priėmimo puslapiuose. Kenkėjiškos veiklos metu ant pakeitimui naudotų piniginių susikaupė 4.8 bitkoino, o tai atitinka maždaug 40 tūkstančių dolerių.
Šaltinis: opennet.ru