ESET کان محقق اڻڄاتل حملي ڪندڙن پاران بدسلوڪي ٽور برائوزر جي تعمير جي ورڇ. اسيمبلي ٽور برائوزر جي سرڪاري روسي ورزن جي طور تي پوزيشن ڪئي وئي، جڏهن ته ان جي تخليق ڪندڙن کي Tor پروجيڪٽ سان ڪو به تعلق نه آهي، ۽ ان جي تخليق جو مقصد Bitcoin ۽ QIWI والٽ کي تبديل ڪرڻ هو.
صارفين کي گمراهه ڪرڻ لاءِ، اسيمبليءَ جي ٺاهيندڙن رجسٽرڊ ڪيو ڊومينز tor-browser.org ۽ torproect.org (سرڪاري torpro ويب سائيٽ کان مختلفJect.org اکر جي غير موجودگي جي ڪري "J"، جيڪو ڪيترن ئي روسي ڳالهائيندڙ استعمال ڪندڙن طرفان اڻڄاتل آهي). سائيٽن جي ڊيزائن کي سرڪاري Tor ويب سائيٽ سان ملندڙ جلندڙ انداز ۾ ٺاهيو ويو. پهرين سائيٽ هڪ صفحو ڏيکاريو جنهن ۾ ٽور برائوزر جي پراڻي ورزن کي استعمال ڪرڻ بابت خبردار ڪيو ويو ۽ هڪ اپڊيٽ کي انسٽال ڪرڻ جي تجويز (لنڪ ٽروجن سافٽ ويئر سان اسيمبليءَ ڏانهن وٺي ويو) ۽ ٻئي تي مواد ساڳيو هو جيئن ڊائون لوڊ ڪرڻ لاءِ صفحو. ٽور برائوزر. خراب اسيمبلي صرف ونڊوز لاء ٺهيل هئي.
2017 کان وٺي، ٽروجن ٽور برائوزر کي روسي ٻوليءَ جي مختلف فورمن تي پروموٽ ڪيو ويو آهي، ڊارڪٽ نيٽ، ڪرپٽو ڪرنسي، Roskomnadzor بلاڪنگ ۽ رازداري جي مسئلن کي پاس ڪرڻ سان لاڳاپيل بحثن ۾. برائوزر کي ورهائڻ لاءِ، pastebin.com پڻ ڪيترائي صفحا ٺاھيا آھن جيڪي مٿين سرچ انجڻين ۾ مختلف غير قانوني عملن، سينسرشپ، مشهور سياستدانن جا نالا وغيره سان لاڳاپيل موضوعن تي نظر اچن ٿا.
pastebin.com تي برائوزر جي جعلي ورزن جي اشتهار ڏيڻ وارا صفحا 500 هزار ڀيرا وڌيڪ ڏٺا ويا.
فرضي تعمير Tor Browser 7.5 ڪوڊ بيس تي ٻڌل هئي ۽، ان کان علاوه بلٽ ان خراب ڪارڪردگي، يوزر-ايجنٽ ۾ معمولي ترميمون، ايڊ-آنز لاءِ ڊجيٽل دستخط جي تصديق کي غير فعال ڪرڻ، ۽ تازه ڪاري تنصيب واري نظام کي بلاڪ ڪرڻ، سرڪاري طور تي هڪجهڙائي هئي. ٽور برائوزر. بدسلوڪي داخل ڪرڻ تي مشتمل آهي هڪ مواد هينڊلر کي معياري HTTPS هر هنڌ شامل ڪرڻ سان ڳنڍڻ (هڪ اضافي script.js اسڪرپٽ manifest.json ۾ شامل ڪيو ويو). باقي تبديليون سيٽنگون ترتيب ڏيڻ جي سطح تي ڪيون ويون، ۽ سڀ بائنري حصا سرڪاري ٽور برائوزر کان رھيا.
اسڪرپٽ هر هنڌ HTTPS ۾ ضم ٿي ويو، جڏهن هر صفحي کي کوليو، ڪنٽرول سرور سان رابطو ڪيو، جيڪو JavaScript ڪوڊ واپس ڪيو جيڪو موجوده صفحي جي حوالي سان عمل ڪيو وڃي. ڪنٽرول سرور لڪيل Tor سروس طور ڪم ڪيو. جاوا اسڪرپٽ ڪوڊ تي عمل ڪرڻ سان، حملو ڪندڙ ويب فارمن جي مواد کي روڪي سگھي ٿو، صفحن تي غير جانبدار عناصر کي متبادل يا لڪائي سگھي ٿو، جعلي پيغام ڏيکاري ٿو، وغيره. جڏهن ته، بدسلوڪي ڪوڊ جو تجزيو ڪرڻ وقت، صرف ڪوڊ کي متبادل ڪرڻ لاء ڪوڊ ڪيو ويو QIWI تفصيلات ۽ Bitcoin والٽ ادائگي جي قبوليت واري صفحن تي ڊارڪ نيٽ تي. بدسلوڪي سرگرمي دوران، 4.8 Bitcoins متبادل لاء استعمال ٿيل پرس تي جمع ڪيا ويا، جيڪي تقريبا 40 هزار ڊالر جي برابر آهن.
جو ذريعو: opennet.ru