Forskare från ESET distribution av en skadlig Tor-webbläsare byggd av okända angripare. Församlingen placerades som den officiella ryska versionen av Tor Browser, medan dess skapare inte har något att göra med Tor-projektet, och syftet med dess skapande var att ersätta Bitcoin- och QIWI-plånböcker.
För att vilseleda användare registrerade skaparna av församlingen domänerna tor-browser.org och torproect.org (till skillnad från den officiella torpro-webbplatsenJect.org genom avsaknaden av bokstaven "J", som går obemärkt förbi av många rysktalande användare). Utformningen av webbplatserna stiliserades för att likna den officiella Tor-webbplatsen. Den första sidan visade en sida med en varning om att använda en föråldrad version av Tor Browser och ett förslag om att installera en uppdatering (länken ledde till en sammanställning med trojansk programvara), och på den andra var innehållet detsamma som sidan för nedladdning Tor webbläsare. Den skadliga sammansättningen skapades endast för Windows.
Sedan 2017 har den trojanska Tor-webbläsaren marknadsförts på olika ryskspråkiga forum, i diskussioner relaterade till darknet, kryptovalutor, kringgående av Roskomnadzor-blockering och integritetsfrågor. För att distribuera webbläsaren skapade pastebin.com också många sidor optimerade för att visas i de bästa sökmotorerna om ämnen relaterade till olika illegala operationer, censur, namn på kända politiker, etc.
Sidor som annonserar en fiktiv version av webbläsaren på pastebin.com visades mer än 500 tusen gånger.
Det fiktiva bygget baserades på Tor Browser 7.5-kodbasen och, förutom inbyggda skadliga funktioner, var mindre justeringar av User-Agent, inaktivering av digital signaturverifiering för tillägg och blockering av uppdateringsinstallationssystemet identisk med den officiella Tor webbläsare. Den skadliga infogningen bestod i att en innehållshanterare kopplades till standardtillägget HTTPS Everywhere (ett extra script.js-skript lades till manifest.json). De återstående ändringarna gjordes på nivån för att justera inställningarna, och alla binära delar förblev från den officiella Tor-webbläsaren.
Skriptet integrerat i HTTPS Everywhere kontaktade kontrollservern när man öppnade varje sida, som returnerade JavaScript-kod som skulle köras i sammanhanget för den aktuella sidan. Kontrollservern fungerade som en dold Tor-tjänst. Genom att köra JavaScript-kod kan angripare fånga upp innehållet i webbformulär, ersätta eller dölja godtyckliga element på sidor, visa fiktiva meddelanden, etc. Men när man analyserade den skadliga koden, registrerades endast koden för att ersätta QIWI-detaljer och Bitcoin-plånböcker på betalningsacceptanssidor på darknet. Under den skadliga aktiviteten samlades 4.8 Bitcoins på plånböckerna som användes för substitution, vilket motsvarar cirka 40 tusen dollar.
Källa: opennet.ru