Pētnieki no ESET nezināmu uzbrucēju ļaunprātīgas Tor pārlūkprogrammas versijas izplatīšana. Montāža tika pozicionēta kā Tor Browser oficiālā krievu versija, savukārt tās veidotājiem nav nekāda sakara ar Tor projektu, un tās izveides mērķis bija aizstāt Bitcoin un QIWI makus.
Lai maldinātu lietotājus, montāžas veidotāji reģistrēja domēnus tor-browser.org un torproect.org (kas atšķiras no oficiālās torpro vietnesJect.org, jo nav burta “J”, ko daudzi krievvalodīgie lietotāji nepamana). Vietņu dizains tika stilizēts, lai līdzinātos oficiālajai Tor vietnei. Pirmajā vietnē tika parādīta lapa ar brīdinājumu par novecojušas Tor Browser versijas izmantošanu un ierosinājumu instalēt atjauninājumu (saite veda uz komplektāciju ar Trojas programmatūru), bet otrajā saturs bija tāds pats kā lejupielādes lapas saturs. Tor pārlūks. Ļaunprātīgā montāža tika izveidota tikai operētājsistēmai Windows.
Kopš 2017. gada Trojas Tor Browser tiek reklamēts dažādos krievvalodīgos forumos, diskusijās saistībā ar darknet, kriptovalūtām, apejot Roskomnadzor bloķēšanas un privātuma jautājumiem. Lai izplatītu pārlūkprogrammu, pastebin.com izveidoja arī daudzas lapas, kas optimizētas parādīšanai populārākajās meklētājprogrammās par tēmām, kas saistītas ar dažādām nelegālām darbībām, cenzūru, slavenu politiķu vārdiem utt.
Lapas, kas reklamē fiktīvu pārlūkprogrammas versiju vietnē pastebin.com, tika skatītas vairāk nekā 500 tūkstošus reižu.
Fiktīvās versijas pamatā bija Tor Browser 7.5 kodu bāze, un, izņemot iebūvētās ļaunprātīgās funkcijas, nelielas lietotāja aģenta korekcijas, pievienojumprogrammu digitālā paraksta pārbaudes atspējošana un atjauninājumu instalēšanas sistēmas bloķēšana bija identiski oficiālajam. Tor pārlūks. Ļaunprātīgā ievietošana ietvēra satura apdarinātāja pievienošanu standarta HTTPS Everywhere papildinājumam (failam manifest.json tika pievienots papildu skripts script.js). Atlikušās izmaiņas tika veiktas iestatījumu pielāgošanas līmenī, un visas binārās daļas palika no oficiālā Tor pārlūka.
HTTPS Everywhere integrētais skripts, atverot katru lapu, sazinājās ar vadības serveri, kas atgrieza JavaScript kodu, kas būtu jāizpilda pašreizējās lapas kontekstā. Vadības serveris darbojās kā slēpts Tor pakalpojums. Izpildot JavaScript kodu, uzbrucēji varētu pārtvert tīmekļa veidlapu saturu, aizstāt vai paslēpt patvaļīgus lapu elementus, parādīt fiktīvus ziņojumus utt. Tomēr, analizējot ļaunprātīgo kodu, tika reģistrēts tikai kods QIWI datu un Bitcoin maku aizstāšanai maksājumu pieņemšanas lapās tumšajā tīklā. Ļaunprātīgās darbības laikā uz krāpniecībai izmantotajiem makiem tika uzkrāti 4.8 Bitcoin, kas atbilst aptuveni 40 tūkstošiem dolāru.
Avots: opennet.ru