Peneliti ti ESET Distribusi Tor Browser anu jahat ku panyerang anu teu dipikanyaho. Majelis ieu diposisikan salaku versi Rusia resmi Tor Browser, bari panyipta na teu aya hubunganana jeung proyék Tor, sarta tujuan dijieunna éta pikeun ngaganti Bitcoin na QIWI dompet.
Pikeun nyasabkeun pangguna, panyipta majelis ngadaptarkeun domain tor-browser.org sareng torproect.org (béda ti situs wéb torpro resmi.Ject.org ku henteuna hurup "J", anu teu dipikanyaho ku seueur pangguna anu nyarios basa Rusia). Desain situs ieu stylized nyarupaan ramatloka resmi Tor. Situs munggaran nampilkeun halaman kalayan peringatan ngeunaan ngagunakeun vérsi Tor Browser anu luntur sareng usulan pikeun masang apdet (tumbuna ngarah ka rakitan sareng parangkat lunak Trojan), sareng dina kadua eusina sami sareng halaman pikeun diunduh. Tor Browser. Majelis jahat dijieun ngan pikeun Windows.
Kusabab 2017, Trojan Tor Browser parantos diwanohkeun dina sababaraha forum basa Rusia, dina diskusi anu aya hubunganana sareng darknet, mata uang kripto, ngalangkungan blokir Roskomnadzor sareng masalah privasi. Pikeun nyebarkeun browser, pastebin.com ogé nyiptakeun seueur halaman anu dioptimalkeun pikeun muncul dina mesin pencari luhur ngeunaan topik anu aya hubunganana sareng sababaraha operasi ilegal, sénsor, nami politikus anu kasohor, jsb.
Halaman iklan versi fiktif tina browser dina pastebin.com ditingali langkung ti 500 rébu kali.
Wangunan fiktif didasarkeun kana basis kode Tor Browser 7.5 sareng, sajaba ti fungsi jahat anu diwangun, panyesuaian minor ka Agen-Agén, nganonaktipkeun verifikasi tanda tangan digital pikeun tambihan, sareng ngahalangan sistem pamasangan pembaruan, sami sareng resmi. Tor Browser. The sisipan jahat diwangun ku ngalampirkeun hiji Handler eusi kana standar HTTPS Everywhere tambihan-on (an script.js tambahan Aksara ieu ditambahkeun kana manifest.json). Parobihan sésana dilakukeun dina tingkat nyaluyukeun setélan, sareng sadaya bagian binér tetep tina browser Tor resmi.
Skrip terpadu kana HTTPS Everywhere, nalika muka unggal halaman, ngahubungi server kontrol, anu ngabalikeun kode JavaScript anu kedah dieksekusi dina konteks halaman ayeuna. Server kontrol fungsina salaku jasa Tor disumputkeun. Ku ngalaksanakeun kode JavaScript, panyerang tiasa nyegat eusi formulir wéb, ngagentos atanapi nyumputkeun unsur-unsur sawenang-wenang dina halaman, nampilkeun pesen fiktif, jsb. Nanging, nalika nganalisa kode jahat, ngan ukur kode pikeun ngagentos detil QIWI sareng dompét Bitcoin dina halaman nampi pamayaran dina darknet anu kacatet. Salila kagiatan jahat, 4.8 Bitcoins akumulasi dina dompét dipaké pikeun substitusi, nu pakait jeung kira 40 sarébu dollar.
sumber: opennet.ru