ESET'ten araştırmacılar bilinmeyen saldırganlar tarafından oluşturulan kötü amaçlı bir Tor Tarayıcının dağıtımı. Derleme, Tor Tarayıcı'nın resmi Rusça versiyonu olarak konumlandırılırken, yaratıcılarının Tor projesiyle hiçbir ilgisi yok ve yaratılışının amacı Bitcoin ve QIWI cüzdanlarının yerini almaktı.
Kullanıcıları yanıltmak için derlemenin yaratıcıları tor-browser.org ve torproect.org alan adlarını kaydettirdi (resmi torpro web sitesinden farklı)Ject.org'da, Rusça konuşan birçok kullanıcı tarafından fark edilmeyen "J" harfinin bulunmaması nedeniyle). Sitelerin tasarımı resmi Tor web sitesine benzeyecek şekilde stilize edildi. İlk site, Tor Tarayıcı'nın eski bir sürümünün kullanılmasına ilişkin bir uyarı ve bir güncelleme yükleme önerisi içeren bir sayfa görüntüledi (bağlantı, Truva atı yazılımıyla bir derlemeye yol açtı) ve ikinci sitede içerik, indirilecek sayfayla aynıydı. Tor tarayıcısı. Kötü amaçlı derleme yalnızca Windows için oluşturuldu.
Truva Atı Tor Tarayıcısı, 2017'den beri çeşitli Rusça forumlarda karanlık ağ, kripto para birimleri, Roskomnadzor engellemesinin aşılması ve gizlilik sorunları ile ilgili tartışmalarda tanıtılıyor. Pastebin.com, tarayıcıyı dağıtmak için ayrıca çeşitli yasadışı işlemler, sansür, ünlü politikacıların isimleri vb. ile ilgili konularda en iyi arama motorlarında görünmek üzere optimize edilmiş birçok sayfa oluşturdu.
Pastebin.com'da tarayıcının hayali versiyonunun reklamını yapan sayfalar 500 binden fazla görüntülendi.
Hayali yapı, Tor Tarayıcı 7.5 kod tabanına dayanıyordu ve yerleşik kötü amaçlı işlevlerin yanı sıra, Kullanıcı Aracısında yapılan küçük ayarlamalar, eklentiler için dijital imza doğrulamasının devre dışı bırakılması ve güncelleme yükleme sisteminin engellenmesi, resmi sürümle aynıydı. Tor tarayıcısı. Kötü amaçlı ekleme, standart HTTPS Everywhere eklentisine bir içerik işleyicisinin eklenmesinden oluşuyordu (manifest.json'a ek bir script.js komut dosyası eklendi). Geriye kalan değişiklikler ayarların yapılması düzeyinde yapıldı ve tüm ikili parçalar resmi Tor Tarayıcıdan kaldı.
HTTPS Everywhere'e entegre edilen komut dosyası, her sayfayı açarken, geçerli sayfanın bağlamında yürütülmesi gereken JavaScript kodunu döndüren kontrol sunucusuyla bağlantı kurdu. Kontrol sunucusu gizli bir Tor hizmeti olarak çalışıyordu. Saldırganlar, JavaScript kodunu çalıştırarak web formlarının içeriğine müdahale edebilir, sayfalardaki rastgele öğeleri değiştirebilir veya gizleyebilir, hayali mesajlar görüntüleyebilir vb. Ancak kötü amaçlı kod analiz edilirken yalnızca QIWI ayrıntılarının ve Bitcoin cüzdanlarının karanlık ağdaki ödeme kabul sayfalarında değiştirilmesine yönelik kod kaydedildi. Kötü niyetli aktivite sırasında ikame için kullanılan cüzdanlarda yaklaşık 4.8 bin dolara karşılık gelen 40 Bitcoin birikti.
Kaynak: opennet.ru