Watafiti kutoka ESET
Ili kuwapotosha watumiaji, waundaji wa mkusanyiko walisajili vikoa tor-browser.org na torproect.org (tofauti na tovuti rasmi ya torproJect.org kwa kukosekana kwa herufi "J", ambayo haijatambuliwa na watumiaji wengi wanaozungumza Kirusi). Muundo wa tovuti uliwekwa mtindo ili kufanana na tovuti rasmi ya Tor. Tovuti ya kwanza ilionyesha ukurasa na onyo kuhusu kutumia toleo la zamani la Kivinjari cha Tor na pendekezo la kusakinisha sasisho (kiungo kilisababisha mkusanyiko na programu ya Trojan), na kwa pili maudhui yalikuwa sawa na ukurasa wa kupakua. Kivinjari cha Tor. Mkutano mbaya uliundwa kwa Windows tu.
Tangu mwaka wa 2017, Kivinjari cha Trojan Tor kimekuzwa kwenye mabaraza mbalimbali ya lugha ya Kirusi, katika majadiliano yanayohusiana na mtandao wa giza, fedha za siri, kupita kizuizi cha Roskomnadzor na masuala ya faragha. Ili kusambaza kivinjari, pastebin.com pia iliunda kurasa nyingi zilizoboreshwa ili kuonekana kwenye injini za utafutaji za juu juu ya mada zinazohusiana na shughuli mbalimbali zisizo halali, udhibiti, majina ya wanasiasa maarufu, nk.
Kurasa zinazotangaza toleo la uwongo la kivinjari kwenye pastebin.com zilitazamwa zaidi ya mara elfu 500.
Muundo huo wa uwongo ulitokana na msingi wa kanuni za Tor Browser 7.5 na, mbali na vitendaji hasidi vilivyojengwa ndani, marekebisho madogo kwa Wakala wa Mtumiaji, kuzima uthibitishaji wa saini za kidijitali kwa programu jalizi, na kuzuia mfumo wa usakinishaji wa sasisho, ulikuwa sawa na rasmi. Kivinjari cha Tor. Uingizaji hasidi ulijumuisha kuambatisha kidhibiti cha maudhui kwenye programu jalizi ya HTTPS Kila mahali (hati ya ziada ya script.js iliongezwa kwenye manifest.json). Mabadiliko yaliyobaki yalifanywa kwa kiwango cha kurekebisha mipangilio, na sehemu zote za binary zilibaki kutoka kwa Kivinjari rasmi cha Tor.
Hati iliyounganishwa kwenye HTTPS Kila mahali, wakati wa kufungua kila ukurasa, iliwasiliana na seva ya udhibiti, ambayo ilirudisha msimbo wa JavaScript ambao unapaswa kutekelezwa katika muktadha wa ukurasa wa sasa. Seva ya udhibiti ilifanya kazi kama huduma iliyofichwa ya Tor. Kwa kutekeleza msimbo wa JavaScript, washambuliaji wanaweza kuingilia maudhui ya fomu za wavuti, kubadilisha au kuficha vipengele vya kiholela kwenye kurasa, kuonyesha ujumbe wa uwongo, n.k. Hata hivyo, wakati wa kuchanganua msimbo hasidi, ni msimbo pekee wa kubadilisha maelezo ya QIWI na pochi za Bitcoin kwenye kurasa za kukubali malipo kwenye darknet ndizo zilizorekodiwa. Wakati wa shughuli mbaya, Bitcoins 4.8 zilikusanywa kwenye pochi zilizotumiwa badala, ambayo inalingana na takriban dola elfu 40.
Chanzo: opennet.ru