ESET నుండి పరిశోధకులు తెలియని దాడి చేసేవారి ద్వారా హానికరమైన Tor బ్రౌజర్ బిల్డ్ పంపిణీ. అసెంబ్లీ టోర్ బ్రౌజర్ యొక్క అధికారిక రష్యన్ వెర్షన్గా ఉంచబడింది, అయితే దాని సృష్టికర్తలకు టోర్ ప్రాజెక్ట్తో ఎటువంటి సంబంధం లేదు మరియు దాని సృష్టి యొక్క ఉద్దేశ్యం బిట్కాయిన్ మరియు QIWI వాలెట్లను భర్తీ చేయడం.
వినియోగదారులను తప్పుదారి పట్టించేందుకు, అసెంబ్లీ సృష్టికర్తలు tor-browser.org మరియు torproect.org (అధికారిక torpro వెబ్సైట్కి భిన్నంగా) డొమైన్లను నమోదు చేశారు.Ject.org "J" అనే అక్షరం లేకపోవటం ద్వారా, ఇది చాలా మంది రష్యన్ మాట్లాడే వినియోగదారులచే గుర్తించబడదు). సైట్ల రూపకల్పన అధికారిక టోర్ వెబ్సైట్ను పోలి ఉండేలా శైలీకృతం చేయబడింది. మొదటి సైట్ Tor బ్రౌజర్ యొక్క పాత వెర్షన్ను ఉపయోగించడం గురించి హెచ్చరికతో మరియు నవీకరణను ఇన్స్టాల్ చేయాలనే ప్రతిపాదనతో కూడిన పేజీని ప్రదర్శించింది (లింక్ ట్రోజన్ సాఫ్ట్వేర్తో అసెంబ్లీకి దారితీసింది), మరియు రెండవది డౌన్లోడ్ చేయడానికి కంటెంట్ పేజీకి సమానంగా ఉంటుంది. టోర్ బ్రౌజర్. హానికరమైన అసెంబ్లీ Windows కోసం మాత్రమే సృష్టించబడింది.
2017 నుండి, ట్రోజన్ టోర్ బ్రౌజర్ డార్క్నెట్, క్రిప్టోకరెన్సీలకు సంబంధించిన చర్చల్లో, రోస్కోమ్నాడ్జోర్ బ్లాకింగ్ మరియు గోప్యతా సమస్యలను దాటవేస్తూ వివిధ రష్యన్-భాషా ఫోరమ్లలో ప్రచారం చేయబడింది. బ్రౌజర్ను పంపిణీ చేయడానికి, pastebin.com వివిధ చట్టవిరుద్ధ కార్యకలాపాలు, సెన్సార్షిప్, ప్రసిద్ధ రాజకీయ నాయకుల పేర్లు మొదలైన వాటికి సంబంధించిన అంశాలపై అగ్ర శోధన ఇంజిన్లలో కనిపించేలా ఆప్టిమైజ్ చేయబడిన అనేక పేజీలను కూడా సృష్టించింది.
pastebin.comలో బ్రౌజర్ యొక్క కల్పిత సంస్కరణను ప్రకటించే పేజీలు 500 వేల కంటే ఎక్కువ సార్లు వీక్షించబడ్డాయి.
కల్పిత బిల్డ్ Tor బ్రౌజర్ 7.5 కోడ్బేస్పై ఆధారపడింది మరియు అంతర్నిర్మిత హానికరమైన ఫంక్షన్లు కాకుండా, వినియోగదారు-ఏజెంట్కి చిన్న సర్దుబాట్లు, యాడ్-ఆన్ల కోసం డిజిటల్ సంతకం ధృవీకరణను నిలిపివేయడం మరియు నవీకరణ ఇన్స్టాలేషన్ సిస్టమ్ను నిరోధించడం వంటివి అధికారికంగా ఒకేలా ఉన్నాయి. టోర్ బ్రౌజర్. హానికరమైన చొప్పించడం అనేది ప్రామాణిక HTTPS ప్రతిచోటా యాడ్-ఆన్కు కంటెంట్ హ్యాండ్లర్ను జోడించడాన్ని కలిగి ఉంటుంది (అదనపు script.js స్క్రిప్ట్ను manifest.jsonకి జోడించబడింది). సెట్టింగులను సర్దుబాటు చేసే స్థాయిలో మిగిలిన మార్పులు చేయబడ్డాయి మరియు అన్ని బైనరీ భాగాలు అధికారిక టోర్ బ్రౌజర్ నుండి మిగిలి ఉన్నాయి.
స్క్రిప్ట్ ప్రతిచోటా HTTPSకి అనుసంధానించబడింది, ప్రతి పేజీని తెరిచేటప్పుడు, కంట్రోల్ సర్వర్ని సంప్రదించింది, ఇది ప్రస్తుత పేజీ సందర్భంలో అమలు చేయవలసిన JavaScript కోడ్ని అందించింది. నియంత్రణ సర్వర్ దాచిన టోర్ సేవ వలె పనిచేసింది. JavaScript కోడ్ని అమలు చేయడం ద్వారా, దాడి చేసేవారు వెబ్ ఫారమ్ల కంటెంట్ను అడ్డగించవచ్చు, పేజీలలోని ఏకపక్ష అంశాలను ప్రత్యామ్నాయం చేయవచ్చు లేదా దాచవచ్చు, కల్పిత సందేశాలను ప్రదర్శించవచ్చు. అయితే, హానికరమైన కోడ్ను విశ్లేషించేటప్పుడు, డార్క్నెట్లోని చెల్లింపు అంగీకార పేజీలలో QIWI వివరాలు మరియు బిట్కాయిన్ వాలెట్లను ప్రత్యామ్నాయం చేసే కోడ్ మాత్రమే రికార్డ్ చేయబడింది. హానికరమైన కార్యాచరణ సమయంలో, 4.8 బిట్కాయిన్లు ప్రత్యామ్నాయం కోసం ఉపయోగించే పర్సులపై సేకరించబడ్డాయి, ఇది సుమారు 40 వేల డాలర్లకు అనుగుణంగా ఉంటుంది.
మూలం: opennet.ru