Pesquisadores da ESET distribuição de um navegador Tor malicioso criado por invasores desconhecidos. A montagem foi posicionada como a versão oficial russa do navegador Tor, enquanto seus criadores não têm nada a ver com o projeto Tor, e o objetivo de sua criação foi substituir as carteiras Bitcoin e QIWI.
Para enganar os usuários, os criadores da montagem registraram os domínios tor-browser.org e torproect.org (diferente do site oficial do torproJect.org pela ausência da letra “J”, que passa despercebida por muitos usuários de língua russa). O design dos sites foi estilizado para se assemelhar ao site oficial do Tor. O primeiro site exibia uma página com um aviso sobre o uso de uma versão desatualizada do Tor Browser e uma proposta de instalação de uma atualização (o link levava a uma montagem com software Trojan), e no segundo o conteúdo era o mesmo da página de download Navegador Tor. O assembly malicioso foi criado apenas para Windows.
Desde 2017, o Trojan Tor Browser tem sido promovido em vários fóruns de língua russa, em discussões relacionadas à darknet, criptomoedas, contornando o bloqueio do Roskomnadzor e questões de privacidade. Para distribuir o navegador, pastebin.com também criou diversas páginas otimizadas para aparecer nos principais buscadores sobre temas relacionados a diversas operações ilegais, censura, nomes de políticos famosos, etc.
As páginas que anunciavam uma versão fictícia do navegador no pastebin.com foram visualizadas mais de 500 mil vezes.
A compilação fictícia foi baseada na base de código do Tor Browser 7.5 e, além das funções maliciosas integradas, pequenos ajustes no User-Agent, desativando a verificação de assinatura digital para complementos e bloqueando o sistema de instalação de atualizações, era idêntica à versão oficial. Navegador Tor. A inserção maliciosa consistiu em anexar um manipulador de conteúdo ao complemento HTTPS Everywhere padrão (um script script.js adicional foi adicionado ao manifest.json). As alterações restantes foram feitas no nível de ajuste das configurações, e todas as partes binárias permaneceram no navegador Tor oficial.
O script integrado ao HTTPS Everywhere, ao abrir cada página, entrava em contato com o servidor de controle, que retornava o código JavaScript que deveria ser executado no contexto da página atual. O servidor de controle funcionou como um serviço Tor oculto. Ao executar código JavaScript, os invasores podem interceptar o conteúdo de formulários da web, substituir ou ocultar elementos arbitrários nas páginas, exibir mensagens fictícias, etc. Porém, ao analisar o código malicioso, apenas foi registrado o código para substituição de dados QIWI e carteiras Bitcoin nas páginas de aceitação de pagamentos na darknet. Durante a atividade maliciosa, foram acumulados 4.8 Bitcoins nas carteiras utilizadas para substituição, o que corresponde a aproximadamente 40 mil dólares.
Fonte: opennet.ru