Penyelidik dari ESET pengedaran binaan Tor Browser yang berniat jahat oleh penyerang yang tidak dikenali. Perhimpunan itu diletakkan sebagai versi rasmi Tor Browser, manakala penciptanya tidak ada kaitan dengan projek Tor, dan tujuan penciptaannya adalah untuk menggantikan dompet Bitcoin dan QIWI.
Untuk mengelirukan pengguna, pencipta perhimpunan mendaftarkan domain tor-browser.org dan torproect.org (berbeza daripada tapak web torpro rasmiJect.org dengan ketiadaan huruf "J", yang tidak disedari oleh ramai pengguna berbahasa Rusia). Reka bentuk tapak telah digayakan untuk menyerupai laman web rasmi Tor. Tapak pertama memaparkan halaman dengan amaran tentang menggunakan versi Tor Browser yang lapuk dan cadangan untuk memasang kemas kini (pautan membawa kepada pemasangan dengan perisian Trojan), dan pada kedua kandungannya adalah sama dengan halaman untuk memuat turun Pelayar Tor. Perhimpunan berniat jahat dibuat hanya untuk Windows.
Sejak 2017, Pelayar Trojan Tor telah dipromosikan di pelbagai forum berbahasa Rusia, dalam perbincangan yang berkaitan dengan darknet, mata wang kripto, memintas penyekatan Roskomnadzor dan isu privasi. Untuk mengedarkan penyemak imbas, pastebin.com juga mencipta banyak halaman yang dioptimumkan untuk muncul dalam enjin carian teratas mengenai topik yang berkaitan dengan pelbagai operasi haram, penapisan, nama ahli politik terkenal, dsb.
Halaman yang mengiklankan versi rekaan pelayar di pastebin.com telah dilihat lebih daripada 500 ribu kali.
Binaan rekaan adalah berdasarkan pangkalan kod Pelayar Tor 7.5 dan, selain daripada fungsi berniat jahat terbina dalam, pelarasan kecil pada Ejen Pengguna, melumpuhkan pengesahan tandatangan digital untuk alat tambah dan menyekat sistem pemasangan kemas kini, adalah sama dengan rasmi Pelayar Tor. Sisipan berniat jahat terdiri daripada melampirkan pengendali kandungan pada alat tambah HTTPS Everywhere standard (skrip script.js tambahan telah ditambahkan pada manifest.json). Perubahan selebihnya dibuat pada tahap melaraskan tetapan, dan semua bahagian binari kekal daripada Pelayar Tor rasmi.
Skrip disepadukan ke dalam HTTPS Everywhere, apabila membuka setiap halaman, menghubungi pelayan kawalan, yang mengembalikan kod JavaScript yang harus dilaksanakan dalam konteks halaman semasa. Pelayan kawalan berfungsi sebagai perkhidmatan Tor tersembunyi. Dengan melaksanakan kod JavaScript, penyerang boleh memintas kandungan borang web, menggantikan atau menyembunyikan unsur sewenang-wenang pada halaman, memaparkan mesej rekaan, dsb. Walau bagaimanapun, apabila menganalisis kod berniat jahat, hanya kod untuk menggantikan butiran QIWI dan dompet Bitcoin pada halaman penerimaan pembayaran pada darknet telah direkodkan. Semasa aktiviti berniat jahat, 4.8 Bitcoin telah terkumpul pada dompet yang digunakan untuk penggantian, yang sepadan dengan kira-kira 40 ribu dolar.
Sumber: opennet.ru