Forskere fra ESET distribusjon av en ondsinnet Tor-nettleser bygget av ukjente angripere. Forsamlingen ble posisjonert som den offisielle russiske versjonen av Tor Browser, mens skaperne ikke har noe med Tor-prosjektet å gjøre, og formålet med opprettelsen var å erstatte Bitcoin- og QIWI-lommebøker.
For å villede brukere registrerte skaperne av forsamlingen domenene tor-browser.org og torproect.org (forskjellig fra det offisielle torpro-nettstedetJect.org ved fraværet av bokstaven "J", som går ubemerket av mange russisktalende brukere). Utformingen av sidene ble stilisert for å ligne den offisielle Tor-nettsiden. Det første nettstedet viste en side med en advarsel om bruk av en utdatert versjon av Tor Browser og et forslag om å installere en oppdatering (lenken førte til en samling med trojansk programvare), og på den andre var innholdet det samme som siden for nedlasting Tor nettleser. Den ondsinnede sammenstillingen ble opprettet kun for Windows.
Siden 2017 har den trojanske Tor-nettleseren blitt promotert på forskjellige russiskspråklige fora, i diskusjoner knyttet til darknet, kryptovalutaer, omgå Roskomnadzor-blokkering og personvernspørsmål. For å distribuere nettleseren opprettet pastebin.com også mange sider som er optimalisert for å vises i de beste søkemotorene om emner relatert til ulike ulovlige operasjoner, sensur, navn på kjente politikere, etc.
Sider som annonserer en fiktiv versjon av nettleseren på pastebin.com ble sett mer enn 500 tusen ganger.
Den fiktive konstruksjonen var basert på Tor Browser 7.5-kodebasen, og bortsett fra innebygde skadelige funksjoner, var mindre justeringer av brukeragenten, deaktivering av digital signaturverifisering for tillegg og blokkering av oppdateringsinstallasjonssystemet identisk med det offisielle. Tor nettleser. Den ondsinnede innsettingen besto av å knytte en innholdsbehandler til standard HTTPS Everywhere-tillegget (et ekstra script.js-skript ble lagt til manifest.json). De resterende endringene ble gjort på nivået for justering av innstillingene, og alle binære deler forble fra den offisielle Tor-nettleseren.
Skriptet integrert i HTTPS Everywhere tok kontakt med kontrollserveren ved åpning av hver side, som returnerte JavaScript-kode som skulle kjøres i sammenheng med gjeldende side. Kontrollserveren fungerte som en skjult Tor-tjeneste. Ved å kjøre JavaScript-kode kan angripere fange opp innholdet i nettskjemaer, erstatte eller skjule vilkårlige elementer på sider, vise fiktive meldinger osv. Men når du analyserte den ondsinnede koden, ble bare koden for å erstatte QIWI-detaljer og Bitcoin-lommebøker på betalingsakseptsider på darknet registrert. Under den ondsinnede aktiviteten ble det samlet 4.8 Bitcoins på lommebøkene som ble brukt til substitusjon, noe som tilsvarer omtrent 40 tusen dollar.
Kilde: opennet.ru