โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > Tor Browser เวอร์ชันรัสเซียปลอมเคยขโมย cryptocurrency และ QIWI

Tor Browser เวอร์ชันรัสเซียปลอมเคยขโมย cryptocurrency และ QIWI

นักวิจัยจาก ESET เปิดเผย การแพร่กระจายของ Tor Browser ที่เป็นอันตรายโดยผู้โจมตีที่ไม่รู้จัก การประชุมดังกล่าวได้รับการวางตำแหน่งให้เป็น Tor Browser เวอร์ชันรัสเซียอย่างเป็นทางการ ในขณะที่ผู้สร้างไม่มีส่วนเกี่ยวข้องกับโครงการ Tor และจุดประสงค์ของการสร้างคือการแทนที่กระเป๋าเงิน Bitcoin และ QIWI

เพื่อหลอกลวงผู้ใช้ ผู้สร้าง Assembly ได้จดทะเบียนโดเมน tor-browser.org และ torproect.org (แตกต่างจากเว็บไซต์ torpro อย่างเป็นทางการJect.org โดยไม่มีตัวอักษร "J" ซึ่งผู้ใช้ที่พูดภาษารัสเซียหลายคนไม่มีใครสังเกตเห็น) การออกแบบไซต์ได้รับการออกแบบให้มีลักษณะคล้ายกับเว็บไซต์ทอร์อย่างเป็นทางการ ไซต์แรกแสดงหน้าเว็บพร้อมคำเตือนเกี่ยวกับการใช้ Tor Browser เวอร์ชันล้าสมัยและข้อเสนอในการติดตั้งการอัปเดต (ลิงก์นำไปสู่ชุดประกอบที่มีซอฟต์แวร์โทรจัน) และเนื้อหาที่สองนั้นเหมือนกับหน้าสำหรับดาวน์โหลด ทอร์เบราว์เซอร์ แอสเซมบลีที่เป็นอันตรายถูกสร้างขึ้นสำหรับ Windows เท่านั้น

Tor Browser เวอร์ชันรัสเซียปลอมเคยขโมย cryptocurrency และ QIWI

Tor Browser เวอร์ชันรัสเซียปลอมเคยขโมย cryptocurrency และ QIWI

ตั้งแต่ปี 2017 เป็นต้นมา เบราว์เซอร์โทรจันทอร์ได้รับการส่งเสริมในฟอรัมภาษารัสเซียต่างๆ ในการสนทนาที่เกี่ยวข้องกับดาร์กเน็ต สกุลเงินดิจิทัล การข้ามปัญหาการบล็อกของ Roskomnadzor และความเป็นส่วนตัว ในการเผยแพร่เบราว์เซอร์ pastebin.com ยังได้สร้างเพจหลายหน้าที่ปรับให้ปรากฏในเครื่องมือค้นหาอันดับต้น ๆ ในหัวข้อที่เกี่ยวข้องกับการดำเนินการที่ผิดกฎหมาย การเซ็นเซอร์ ชื่อของนักการเมืองที่มีชื่อเสียง ฯลฯ
หน้าเว็บที่โฆษณาเบราว์เซอร์เวอร์ชันสมมติบน pastebin.com มีผู้เข้าชมมากกว่า 500 ครั้ง

Tor Browser เวอร์ชันรัสเซียปลอมเคยขโมย cryptocurrency และ QIWI

โครงสร้างสมมตินั้นใช้ฐานโค้ดของ Tor Browser 7.5 และนอกเหนือจากฟังก์ชันที่เป็นอันตรายในตัวแล้ว การปรับเปลี่ยน User-Agent เล็กน้อย การปิดใช้งานการตรวจสอบลายเซ็นดิจิทัลสำหรับส่วนเสริม และการบล็อกระบบการติดตั้งการอัปเดต นั้นเหมือนกับที่เป็นทางการ ทอร์เบราว์เซอร์ การแทรกที่เป็นอันตรายประกอบด้วยการแนบตัวจัดการเนื้อหาเข้ากับโปรแกรมเสริม HTTPS Everywhere มาตรฐาน (มีการเพิ่มสคริปต์ script.js เพิ่มเติมใน manifest.json) การเปลี่ยนแปลงที่เหลือเกิดขึ้นที่ระดับการปรับการตั้งค่า และส่วนไบนารีทั้งหมดยังคงอยู่จากเบราว์เซอร์ของ Tor อย่างเป็นทางการ

สคริปต์ที่รวมเข้ากับ HTTPS ทุกที่ เมื่อเปิดแต่ละหน้า จะติดต่อกับเซิร์ฟเวอร์ควบคุม ซึ่งส่งคืนโค้ด JavaScript ที่ควรดำเนินการในบริบทของหน้าปัจจุบัน เซิร์ฟเวอร์ควบคุมทำหน้าที่เป็นบริการ Tor ที่ซ่อนอยู่ ด้วยการรันโค้ด JavaScript ผู้โจมตีสามารถสกัดกั้นเนื้อหาของแบบฟอร์มบนเว็บ แทนที่หรือซ่อนองค์ประกอบที่กำหนดเองบนเพจ แสดงข้อความสมมติ ฯลฯ อย่างไรก็ตาม เมื่อวิเคราะห์โค้ดที่เป็นอันตราย จะมีการบันทึกเฉพาะโค้ดสำหรับการทดแทนรายละเอียด QIWI และกระเป๋าเงิน Bitcoin บนหน้ารับชำระเงินบน Darknet เท่านั้น ในระหว่างกิจกรรมที่เป็นอันตราย 4.8 Bitcoins ถูกสะสมในกระเป๋าเงินที่ใช้ทดแทน ซึ่งมีมูลค่าประมาณ 40 ดอลลาร์

ที่มา: opennet.ru

เพิ่มความคิดเห็น