Onderzoekers van ESET verspreiding van een kwaadaardige Tor Browser, gebouwd door onbekende aanvallers. De assemblage werd gepositioneerd als de officiële Russische versie van Tor Browser, terwijl de makers ervan niets te maken hebben met het Tor-project, en het doel van de oprichting ervan was om Bitcoin- en QIWI-portefeuilles te vervangen.
Om gebruikers te misleiden registreerden de makers van de assemblage de domeinen tor-browser.org en torproect.org (anders dan de officiële torpro-websiteJect.org door de afwezigheid van de letter “J”, die door veel Russischsprekende gebruikers onopgemerkt blijft). Het ontwerp van de sites is gestileerd om op de officiële Tor-website te lijken. De eerste site toonde een pagina met een waarschuwing over het gebruik van een verouderde versie van Tor Browser en een voorstel om een update te installeren (de link leidde naar een montage met Trojan-software), en op de tweede was de inhoud dezelfde als de downloadpagina Tor-browser. De kwaadaardige assembly is alleen voor Windows gemaakt.
Sinds 2017 wordt de Trojan Tor Browser gepromoot op verschillende Russischtalige forums, in discussies over het darknet, cryptocurrencies, het omzeilen van Roskomnadzor-blokkering en privacykwesties. Om de browser te verspreiden, heeft pastebin.com ook veel pagina's gemaakt die zijn geoptimaliseerd om in de beste zoekmachines te verschijnen over onderwerpen die verband houden met verschillende illegale operaties, censuur, de namen van beroemde politici, enz.
Pagina's die reclame maakten voor een fictieve versie van de browser op pastebin.com werden meer dan 500 keer bekeken.
De fictieve build was gebaseerd op de Tor Browser 7.5-codebase en was, afgezien van ingebouwde kwaadaardige functies, kleine aanpassingen aan de User-Agent, het uitschakelen van de verificatie van digitale handtekeningen voor add-ons en het blokkeren van het update-installatiesysteem identiek aan de officiële versie. Tor-browser. De kwaadaardige invoeging bestond uit het koppelen van een inhoudshandler aan de standaard HTTPS Everywhere-add-on (er werd een extra script.js-script toegevoegd aan manifest.json). De overige wijzigingen zijn aangebracht op het niveau van het aanpassen van de instellingen en alle binaire delen zijn gebleven van de officiële Tor Browser.
Het script dat in HTTPS Everywhere was geïntegreerd, nam bij het openen van elke pagina contact op met de controleserver, die JavaScript-code retourneerde die in de context van de huidige pagina moest worden uitgevoerd. De controleserver functioneerde als een verborgen Tor-service. Door JavaScript-code uit te voeren, konden aanvallers de inhoud van webformulieren onderscheppen, willekeurige elementen op pagina's vervangen of verbergen, fictieve berichten weergeven, enz. Bij het analyseren van de kwaadaardige code werd echter alleen de code geregistreerd voor het vervangen van QIWI-gegevens en Bitcoin-wallets op betalingsacceptatiepagina's op het darknet. Tijdens de kwaadwillige activiteit werden 4.8 Bitcoins verzameld op de portemonnees die voor vervanging werden gebruikt, wat overeenkomt met ongeveer 40 dollar.
Bron: opennet.ru