ESET बाट अनुसन्धानकर्ताहरू अज्ञात आक्रमणकारीहरू द्वारा निर्मित दुर्भावनापूर्ण टोर ब्राउजरको वितरण। एसेम्बलीलाई टोर ब्राउजरको आधिकारिक रूसी संस्करणको रूपमा राखिएको थियो, जबकि यसको सिर्जनाकर्ताहरूको टोर परियोजनासँग कुनै सरोकार छैन, र यसको सिर्जनाको उद्देश्य बिटकोइन र QIWI वालेटहरू प्रतिस्थापन गर्नु थियो।
प्रयोगकर्ताहरूलाई भ्रमित गर्नका लागि, सम्मेलनका सिर्जनाकर्ताहरूले tor-browser.org र torproect.org डोमेनहरू दर्ता गरे (आधिकारिक torpro वेबसाइट भन्दा फरकJect.org अक्षर "J" को अनुपस्थितिबाट, जुन धेरै रूसी-भाषी प्रयोगकर्ताहरूले बेवास्ता गर्दछ)। साइटहरूको डिजाइन आधिकारिक टोर वेबसाइटसँग मिल्दोजुल्दो बनाइएको थियो। पहिलो साइटले टोर ब्राउजरको पुरानो संस्करण प्रयोग गर्ने बारे चेतावनी सहितको पृष्ठ प्रदर्शित गर्यो र अपडेट स्थापना गर्ने प्रस्ताव (लिङ्कले ट्रोजन सफ्टवेयरको साथ एसेम्बलीमा पुर्यायो), र दोस्रोमा सामग्री डाउनलोड गर्नको लागि पृष्ठ जस्तै थियो। टोर ब्राउजर। दुर्भावनापूर्ण असेंबली विन्डोजको लागि मात्र सिर्जना गरिएको थियो।
2017 देखि, ट्रोजन टोर ब्राउजर विभिन्न रूसी भाषा फोरमहरूमा प्रचार गरिएको छ, डार्कनेट, क्रिप्टोकरेन्सीहरू, रोस्कोम्नाडजोर ब्लकिङ र गोपनीयता मुद्दाहरूलाई बाइपास गर्दै। ब्राउजर वितरण गर्न, pastebin.com ले विभिन्न गैरकानूनी कार्यहरू, सेन्सरशिप, प्रसिद्ध राजनीतिज्ञहरूको नाम, इत्यादि सम्बन्धित विषयहरूमा शीर्ष खोज इन्जिनहरूमा देखा पर्न अनुकूलित धेरै पृष्ठहरू पनि सिर्जना गर्यो।
pastebin.com मा ब्राउजरको काल्पनिक संस्करणको विज्ञापन गर्ने पृष्ठहरू 500 हजार भन्दा बढी पटक हेरिएको थियो।
काल्पनिक निर्माण टोर ब्राउजर 7.5 कोडबेसमा आधारित थियो र, बिल्ट-इन मालिसियस प्रकार्यहरू बाहेक, प्रयोगकर्ता-एजेन्टमा सानो समायोजन, एड-अनहरूको लागि डिजिटल हस्ताक्षर प्रमाणिकरण असक्षम गर्ने, र अद्यावधिक स्थापना प्रणाली ब्लक गर्ने, आधिकारिक रूपमा समान थियो। टोर ब्राउजर। मालिसियस इन्सर्सनमा मानक HTTPS Everywhere एड-अनमा सामग्री ह्यान्डलर संलग्न गर्ने समावेश थियो (एक अतिरिक्त script.js लिपि manifest.json मा थपिएको थियो)। बाँकी परिवर्तनहरू सेटिङहरू समायोजन गर्ने स्तरमा बनाइयो, र सबै बाइनरी भागहरू आधिकारिक टोर ब्राउजरबाट रह्यो।
HTTPS Everywhere मा एकीकृत लिपिले, प्रत्येक पृष्ठ खोल्दा, नियन्त्रण सर्भरलाई सम्पर्क गर्यो, जसले JavaScript कोड फिर्ता गर्यो जुन हालको पृष्ठको सन्दर्भमा कार्यान्वयन गर्नुपर्छ। नियन्त्रण सर्भरले लुकेको टोर सेवाको रूपमा काम गर्यो। जाभास्क्रिप्ट कोड कार्यान्वयन गरेर, आक्रमणकारीहरूले वेब फारमहरूको सामग्रीलाई रोक्न सक्छन्, पृष्ठहरूमा स्वैच्छिक तत्वहरू बदल्न वा लुकाउन सक्छन्, काल्पनिक सन्देशहरू प्रदर्शन गर्न सक्छन्, आदि। यद्यपि, खराब कोडको विश्लेषण गर्दा, डार्कनेटमा भुक्तानी स्वीकृति पृष्ठहरूमा QIWI विवरणहरू र बिटकोइन वालेटहरू प्रतिस्थापन गर्ने कोड मात्र रेकर्ड गरिएको थियो। दुर्भावनापूर्ण गतिविधिको समयमा, 4.8 बिटकोइनहरू स्पूफिंगको लागि प्रयोग गरिएका वालेटहरूमा जम्मा भएका थिए, जुन लगभग 40 हजार डलरसँग मेल खान्छ।
स्रोत: opennet.ru