ESET-ийн судлаачид үл мэдэгдэх халдагчдын бүтээсэн хортой Tor Browser-ийг түгээх. Энэхүү угсралт нь Tor Browser-ийн албан ёсны орос хувилбар байсан бөгөөд бүтээгчид нь Tor төсөлтэй ямар ч холбоогүй бөгөөд үүнийг бүтээх зорилго нь Bitcoin болон QIWI түрийвчийг солих явдал байв.
Хэрэглэгчдийг төөрөгдүүлэхийн тулд уг чуулганыг бүтээгчид tor-browser.org болон torproect.org (албан ёсны torpro вэбсайтаас ялгаатай) домэйнүүдийг бүртгэсэн.Ject.org-д "J" үсэг байхгүй тул орос хэлээр ярьдаг олон хэрэглэгчид анзаардаггүй). Сайтуудын дизайныг албан ёсны Tor вэбсайттай адилхан загварчилсан. Эхний сайт нь Tor Browser-ийн хуучирсан хувилбарыг ашиглах тухай анхааруулга, шинэчлэлтийг суулгахыг санал болгосон хуудсыг харуулсан (холбоос нь Трояны програм хангамжийг угсрахад хүргэсэн), хоёр дахь нь агуулга нь татаж авах хуудастай ижил байв. Tor хөтөч. Хортой угсралт нь зөвхөн Windows-д зориулагдсан.
2017 оноос хойш Трояны Tor хөтчийг орос хэл дээрх янз бүрийн форумд сурталчилж, darknet, криптовалюттай холбоотой хэлэлцүүлэг, Роскомнадзорыг хаах, нууцлалын асуудлыг тойрсон. Хөтөчийг түгээхийн тулд pastebin.com нь янз бүрийн хууль бус ажиллагаа, цензур, алдартай улс төрчдийн нэрс гэх мэт сэдвүүдээр шилдэг хайлтын системд харагдахаар оновчтой болгосон олон хуудсыг бий болгосон.
Pastebin.com дээрх хөтчийн зохиомол хувилбарыг сурталчилсан хуудсуудыг 500 мянга гаруй удаа үзсэн байна.
Зохиомол бүтээц нь Tor Browser 7.5 кодын суурь дээр суурилагдсан бөгөөд суулгасан хортой функцуудаас гадна Хэрэглэгч-Агент дээр хийсэн бага зэргийн тохируулга, нэмэлтүүдийн тоон гарын үсгийн баталгаажуулалтыг идэвхгүй болгох, шинэчлэлт суулгах системийг хаах зэрэг нь албан ёсны хувилбартай ижил байв. Tor хөтөч. Хортой оруулга нь стандарт HTTPS Everywhere нэмэлт дээр контент зохицуулагчийг хавсаргасан (manifest.json-д нэмэлт script.js скрипт нэмсэн). Үлдсэн өөрчлөлтүүд нь тохиргоог тохируулах түвшинд хийгдсэн бөгөөд бүх хоёртын хэсгүүд нь албан ёсны Tor Browser-аас үлдсэн.
HTTPS-д нэгдсэн скрипт нь хуудас бүрийг нээхдээ хяналтын сервертэй холбогдож, одоогийн хуудасны контекст дээр ажиллах ёстой JavaScript кодыг буцааж өгсөн. Хяналтын сервер нь далд Tor үйлчилгээний үүрэг гүйцэтгэсэн. JavaScript кодыг ажиллуулснаар халдагчид вэб маягтын агуулгыг таслан зогсоох, хуудсууд дээрх дурын элементүүдийг орлуулах, нуух, зохиомол мессеж харуулах гэх мэт боломжтой. Гэсэн хэдий ч, хортой кодыг шинжлэхэд зөвхөн darknet дээрх төлбөр хүлээн авах хуудсан дээрх QIWI дэлгэрэнгүй мэдээлэл болон Bitcoin түрийвчийг орлуулах код бүртгэгдсэн байна. Хорлонтой үйл ажиллагааны явцад орлуулахад ашигласан түрийвч дээр 4.8 биткойн хуримтлагдсан нь ойролцоогоор 40 мянган доллартай тэнцэж байна.
Эх сурвалж: opennet.ru