Cercetători de la ESET distribuirea unui browser Tor malițios creat de atacatori necunoscuți. Ansamblul a fost poziționat ca versiunea oficială rusă a Tor Browser, în timp ce creatorii săi nu au nimic de-a face cu proiectul Tor, iar scopul creării sale a fost să înlocuiască portofelele Bitcoin și QIWI.
Pentru a induce în eroare utilizatorii, creatorii ansamblului au înregistrat domeniile tor-browser.org și torproect.org (diferit de site-ul oficial torproJect.org prin absența literei „J”, care trece neobservată de mulți utilizatori vorbitori de limbă rusă). Designul site-urilor a fost stilizat să semene cu site-ul oficial Tor. Primul site afișa o pagină cu un avertisment despre utilizarea unei versiuni învechite de Tor Browser și o propunere de instalare a unei actualizări (linkul ducea la un asamblare cu software troian), iar pe al doilea conținutul era același cu pagina de descărcare. Browser Tor. Ansamblul rău intenționat a fost creat numai pentru Windows.
Din 2017, Trojan Tor Browser a fost promovat pe diverse forumuri în limba rusă, în discuții legate de darknet, criptomonede, ocolind blocarea Roskomnadzor și problemele de confidențialitate. Pentru a distribui browserul, pastebin.com a creat și multe pagini optimizate pentru a apărea în topul motoarelor de căutare pe teme legate de diverse operațiuni ilegale, cenzură, numele unor politicieni celebri etc.
Paginile care promovau o versiune fictive a browserului pe pastebin.com au fost vizualizate de peste 500 de mii de ori.
Construcția fictivă a fost bazată pe baza de cod Tor Browser 7.5 și, în afară de funcțiile rău intenționate încorporate, ajustări minore la User-Agent, dezactivarea verificării semnăturii digitale pentru suplimente și blocarea sistemului de instalare a actualizării, a fost identică cu cea oficială. Browser Tor. Inserarea rău intenționată a constat în atașarea unui handler de conținut la suplimentul standard HTTPS Everywhere (un script script.js suplimentar a fost adăugat la manifest.json). Modificările rămase au fost făcute la nivelul ajustării setărilor, iar toate părțile binare au rămas din browserul oficial Tor.
Scriptul integrat în HTTPS Everywhere, la deschiderea fiecărei pagini, a contactat serverul de control, care a returnat cod JavaScript care ar trebui să fie executat în contextul paginii curente. Serverul de control a funcționat ca un serviciu Tor ascuns. Prin executarea codului JavaScript, atacatorii ar putea să intercepteze conținutul formularelor web, să înlocuiască sau să ascundă elemente arbitrare de pe pagini, să afișeze mesaje fictive etc. Cu toate acestea, la analiza codului rău intenționat, a fost înregistrat doar codul pentru înlocuirea detaliilor QIWI și a portofelelor Bitcoin pe paginile de acceptare a plăților de pe darknet. În timpul activității rău intenționate, pe portofelele folosite pentru înlocuire s-au acumulat 4.8 Bitcoin, ceea ce corespunde la aproximativ 40 de mii de dolari.
Sursa: opennet.ru