Mga mananaliksik mula sa ESET pamamahagi ng isang nakakahamak na Tor Browser na binuo ng hindi kilalang mga umaatake. Ang pagpupulong ay nakaposisyon bilang opisyal na bersyon ng Ruso ng Tor Browser, habang ang mga tagalikha nito ay walang kinalaman sa proyekto ng Tor, at ang layunin ng paglikha nito ay upang palitan ang Bitcoin at QIWI wallet.
Upang linlangin ang mga user, inirehistro ng mga tagalikha ng assembly ang mga domain na tor-browser.org at torproect.org (iba sa opisyal na website ng torproJect.org sa pamamagitan ng kawalan ng titik na "J", na hindi napapansin ng maraming gumagamit na nagsasalita ng Ruso). Ang disenyo ng mga site ay inilarawan sa pangkinaugalian upang maging katulad ng opisyal na website ng Tor. Ang unang site ay nagpakita ng isang pahina na may babala tungkol sa paggamit ng isang lumang bersyon ng Tor Browser at isang panukalang mag-install ng isang update (ang link ay humantong sa isang pagpupulong na may Trojan software), at sa pangalawa ang nilalaman ay kapareho ng pahina para sa pag-download. Tor Browser. Ang malisyosong pagpupulong ay nilikha lamang para sa Windows.
Mula noong 2017, ang Trojan Tor Browser ay na-promote sa iba't ibang mga forum sa wikang Ruso, sa mga talakayan na may kaugnayan sa darknet, cryptocurrencies, pag-bypass sa Roskomnadzor blocking at mga isyu sa privacy. Upang ipamahagi ang browser, gumawa din ang pastebin.com ng maraming page na na-optimize upang lumabas sa mga nangungunang search engine sa mga paksang nauugnay sa iba't ibang ilegal na operasyon, censorship, mga pangalan ng mga sikat na pulitiko, atbp.
Ang mga pahinang nag-a-advertise ng isang gawa-gawang bersyon ng browser sa pastebin.com ay tiningnan ng higit sa 500 libong beses.
Ang kathang-isip na build ay batay sa Tor Browser 7.5 codebase at, bukod sa mga built-in na nakakahamak na function, ang mga menor de edad na pagsasaayos sa User-Agent, hindi pagpapagana ng digital signature verification para sa mga add-on, at pagharang sa update installation system, ay kapareho ng opisyal Tor Browser. Ang malisyosong insertion ay binubuo ng pag-attach ng content handler sa karaniwang HTTPS Everywhere add-on (isang karagdagang script.js script ang idinagdag sa manifest.json). Ang natitirang mga pagbabago ay ginawa sa antas ng pagsasaayos ng mga setting, at ang lahat ng binary na bahagi ay nanatili mula sa opisyal na Tor Browser.
Ang script na isinama sa HTTPS Everywhere, kapag binubuksan ang bawat page, ay nakipag-ugnayan sa control server, na nagbalik ng JavaScript code na dapat isagawa sa konteksto ng kasalukuyang page. Ang control server ay gumana bilang isang nakatagong serbisyo ng Tor. Sa pamamagitan ng pagpapatupad ng JavaScript code, maaaring harangin ng mga attacker ang nilalaman ng mga web form, palitan o itago ang mga arbitrary na elemento sa mga page, magpakita ng mga gawa-gawang mensahe, atbp. Gayunpaman, kapag sinusuri ang malisyosong code, tanging ang code para sa pagpapalit ng mga detalye ng QIWI at mga wallet ng Bitcoin sa mga pahina ng pagtanggap ng pagbabayad sa darknet ang naitala. Sa panahon ng malisyosong aktibidad, 4.8 Bitcoins ang naipon sa mga wallet na ginamit para sa pagpapalit, na katumbas ng humigit-kumulang 40 libong dolyar.
Pinagmulan: opennet.ru