Riċerkaturi mill-ESET
Biex tqarraq bl-utenti, il-ħallieqa tal-assemblaġġ irreġistraw id-dominji tor-browser.org u torproect.org (differenti mill-websajt uffiċjali tat-torproJect.org min-nuqqas tal-ittra "J", li ma tiġix innotata minn ħafna utenti li jitkellmu bir-Russu). Id-disinn tas-siti kien stilizzat biex jixbah il-websajt uffiċjali Tor. L-ewwel sit wera paġna bi twissija dwar l-użu ta’ verżjoni skaduta ta’ Tor Browser u proposta biex jiġi installat aġġornament (il-link wasslet għal assemblaġġ b’softwer Trojan), u fit-tieni l-kontenut kien l-istess bħall-paġna għat-tniżżil. Tor Browser. L-assemblaġġ malizzjuż inħoloq biss għall-Windows.
Mill-2017 'l hawn, it-Trojan Tor Browser ġie promoss fuq diversi forums bil-lingwa Russa, f'diskussjonijiet relatati mad-darknet, il-kripto-muniti, billi jinjora l-imblukkar ta' Roskomnadzor u kwistjonijiet ta 'privatezza. Biex iqassam il-browser, pastebin.com ħoloq ukoll bosta paġni ottimizzati biex jidhru fl-aqwa search engines dwar suġġetti relatati ma’ diversi operazzjonijiet illegali, ċensura, ismijiet ta’ politiċi famużi, eċċ.
Paġni li jirreklamaw verżjoni fittizja tal-browser fuq pastebin.com dehru aktar minn 500 elf darba.
Il-bini fittizju kien ibbażat fuq il-codebase Tor Browser 7.5 u, apparti minn funzjonijiet malizzjużi integrati, aġġustamenti minuri għall-Utent-Agent, id-diżattivazzjoni tal-verifika tal-firma diġitali għall-add-ons, u l-imblukkar tas-sistema tal-installazzjoni tal-aġġornament, kienet identika għall-uffiċjali. Tor Browser. L-inserzjoni malizzjuża kienet tikkonsisti fit-twaħħil ta' handler tal-kontenut mal-add-on standard HTTPS Everywhere (skript addizzjonali script.js ġie miżjud ma' manifest.json). Il-bidliet li kien fadal saru fil-livell ta 'aġġustament tas-settings, u l-partijiet binarji kollha baqgħu mill-Tor Browser uffiċjali.
L-iskrittura integrata f'HTTPS Kullimkien, meta fetaħ kull paġna, ikkuntattja lis-server tal-kontroll, li rritorna kodiċi JavaScript li għandu jiġi esegwit fil-kuntest tal-paġna attwali. Is-server tal-kontroll kien jiffunzjona bħala servizz Tor moħbi. Billi jesegwixxi kodiċi JavaScript, l-attakkanti jistgħu jinterċettaw il-kontenut tal-formoli tal-web, jissostitwixxu jew jaħbu elementi arbitrarji fuq paġni, juru messaġġi fittizji, eċċ. Madankollu, meta ġie analizzat il-kodiċi malizzjuż, ġie rreġistrat biss il-kodiċi għas-sostituzzjoni tad-dettalji QIWI u l-kartieri Bitcoin fuq il-paġni tal-aċċettazzjoni tal-ħlas fuq id-darknet. Matul l-attività malizzjuża, 4.8 Bitcoins ġew akkumulati fuq il-kartieri użati għas-sostituzzjoni, li jikkorrispondi għal madwar 40 elf dollaru.
Sors: opennet.ru