Výskumníci zo spoločnosti ESET distribúcia škodlivého zostavenia prehliadača Tor neznámymi útočníkmi. Zostava bola umiestnená ako oficiálna ruská verzia Tor Browser, pričom jej tvorcovia nemajú nič spoločné s projektom Tor a účelom jej vytvorenia bolo nahradiť bitcoinové a QIWI peňaženky.
Aby tvorcovia zostavy zavádzali používateľov, zaregistrovali si domény tor-browser.org a torproect.org (odlišné od oficiálnej stránky torproJect.org absenciou písmena „J“, ktoré si mnohí rusky hovoriaci používatelia nevšimnú). Dizajn stránok bol štylizovaný tak, aby pripomínal oficiálnu stránku Tor. Na prvej stránke sa zobrazila stránka s upozornením na používanie zastaranej verzie prehliadača Tor a návrhom na inštaláciu aktualizácie (odkaz viedol na zostavu so softvérom Trojan), na druhej bol obsah rovnaký ako na stránke na stiahnutie. Prehliadač Tor. Škodlivé zhromaždenie bolo vytvorené iba pre systém Windows.
Od roku 2017 je Trojan Tor Browser propagovaný na rôznych fórach v ruskom jazyku, v diskusiách týkajúcich sa darknetu, kryptomien, obchádzania blokovania Roskomnadzor a otázok ochrany súkromia. Na distribúciu prehliadača pastebin.com vytvoril aj mnoho stránok optimalizovaných tak, aby sa zobrazovali v popredných vyhľadávačoch na témy súvisiace s rôznymi nelegálnymi operáciami, cenzúrou, menami známych politikov atď.
Stránky propagujúce fiktívnu verziu prehliadača na pastebin.com boli zobrazené viac ako 500 tisíc krát.
Fiktívne zostavenie bolo založené na kódovej základni Tor Browser 7.5 a okrem zabudovaných škodlivých funkcií, drobných úprav User-Agenta, zakázania overovania digitálnych podpisov pre doplnky a zablokovania systému inštalácie aktualizácií bolo totožné s oficiálnym Prehliadač Tor. Škodlivé vloženie spočívalo v pripojení obslužného programu obsahu k štandardnému doplnku HTTPS Everywhere (do manifest.json bol pridaný ďalší skript script.js). Zvyšné zmeny boli vykonané na úrovni úpravy nastavení a všetky binárne časti zostali z oficiálneho prehliadača Tor.
Skript integrovaný do HTTPS Everywhere pri otvorení každej stránky kontaktoval riadiaci server, ktorý vrátil kód JavaScript, ktorý by sa mal spustiť v kontexte aktuálnej stránky. Riadiaci server fungoval ako skrytá služba Tor. Spustením kódu JavaScript by útočníci mohli zachytiť obsah webových formulárov, nahradiť alebo skryť ľubovoľné prvky na stránkach, zobraziť fiktívne správy atď. Pri analýze škodlivého kódu sa však zaznamenal iba kód na nahradenie podrobností QIWI a bitcoinových peňaženiek na stránkach prijímania platieb na darknete. Počas záškodníckej činnosti sa na peňaženkách používaných na substitúciu nahromadilo 4.8 bitcoinov, čo zodpovedá približne 40 tisícom dolárov.
Zdroj: opennet.ru