Raziskovalci iz ESET distribucija zlonamernega brskalnika Tor, ki so ga zgradili neznani napadalci. Sklop je bil postavljen kot uradna ruska različica brskalnika Tor, medtem ko njegovi ustvarjalci nimajo nobene zveze s projektom Tor, namen njegovega nastanka pa je bil nadomestiti denarnice Bitcoin in QIWI.
Za zavajanje uporabnikov so ustvarjalci sklopa registrirali domeni tor-browser.org in torproect.org (različni od uradne spletne strani torproJect.org zaradi odsotnosti črke »J«, ki je številni rusko govoreči uporabniki ne opazijo). Zasnova spletnih mest je bila stilizirana tako, da spominja na uradno spletno stran Tor. Na prvem mestu je bila prikazana stran z opozorilom o uporabi zastarele različice brskalnika Tor in predlogom za namestitev posodobitve (povezava je vodila do sklopa s trojansko programsko opremo), na drugem pa je bila vsebina enaka strani za prenos. Brskalnik Tor. Zlonamerni sklop je bil ustvarjen samo za Windows.
Od leta 2017 se trojanski brskalnik Tor oglašuje na različnih forumih v ruskem jeziku, v razpravah, povezanih z temnim omrežjem, kriptovalutami, izogibanjem blokiranju Roskomnadzorja in vprašanji zasebnosti. Za distribucijo brskalnika je pastebin.com ustvaril tudi številne strani, optimizirane za prikaz v najboljših iskalnikih na teme, povezane z različnimi nezakonitimi operacijami, cenzuro, imeni znanih politikov itd.
Strani, ki oglašujejo fiktivno različico brskalnika na pastebin.com, so si ogledali več kot 500 tisočkrat.
Fiktivna zgradba je temeljila na kodni bazi brskalnika Tor 7.5 in je bila, razen vgrajenih zlonamernih funkcij, manjših prilagoditev uporabniškega agenta, onemogočanja preverjanja digitalnega podpisa za dodatke in blokiranja sistema za namestitev posodobitev, enaka uradnemu Brskalnik Tor. Zlonamerna vstavitev je obsegala pripenjanje orodja za obravnavo vsebine standardnemu dodatku HTTPS Everywhere (dodaten skript script.js je bil dodan v manifest.json). Preostale spremembe so bile narejene na ravni prilagajanja nastavitev, vsi binarni deli pa so ostali iz uradnega brskalnika Tor.
Skript, integriran v HTTPS Everywhere, je ob odpiranju vsake strani stopil v stik z nadzornim strežnikom, ki je vrnil kodo JavaScript, ki bi se morala izvesti v kontekstu trenutne strani. Nadzorni strežnik je deloval kot skrita storitev Tor. Z izvajanjem JavaScript kode lahko napadalci prestrežejo vsebino spletnih obrazcev, zamenjajo ali skrijejo poljubne elemente na straneh, prikažejo fiktivna sporočila itd. Vendar pa je bila pri analizi zlonamerne kode zabeležena le koda za zamenjavo podatkov QIWI in Bitcoin denarnic na straneh za sprejemanje plačil v temnem omrežju. Med zlonamerno aktivnostjo se je na denarnicah, uporabljenih za zamenjavo, nabralo 4.8 Bitcoina, kar ustreza približno 40 tisoč dolarjev.
Vir: opennet.ru