ESET tadqiqotchilari noma'lum hujumchilar tomonidan yaratilgan zararli Tor brauzerini tarqatish. Assambleya Tor brauzerining rasmiy ruscha versiyasi sifatida joylashtirilgan, uning yaratuvchilari Tor loyihasiga hech qanday aloqasi yo'q va uni yaratish maqsadi Bitcoin va QIWI hamyonlarini almashtirish edi.
Foydalanuvchilarni chalg'itish uchun assambleya yaratuvchilari tor-browser.org va torproect.org domenlarini ro'yxatdan o'tkazishdi (torpro rasmiy veb-saytidan farqli o'laroq).Ject.org ko'plab rus tilida so'zlashuvchi foydalanuvchilar tomonidan e'tiborga olinmaydigan "J" harfining yo'qligi). Saytlarning dizayni Tor rasmiy veb-saytiga o'xshash tarzda stilize qilingan. Birinchi sayt Tor brauzerining eskirgan versiyasidan foydalanish haqida ogohlantirish va yangilanishni o'rnatish taklifi bilan sahifani ko'rsatdi (havola troyan dasturiy ta'minoti bilan yig'ilishga olib keldi), ikkinchisida kontent yuklab olish sahifasi bilan bir xil edi. Tor brauzer. Zararli yig'ilish faqat Windows uchun yaratilgan.
2017 yildan beri Tor troyan brauzeri turli rus tilidagi forumlarda, darknet, kriptovalyutalar bilan bog'liq munozaralarda, Roskomnadzorni blokirovka qilish va maxfiylik masalalarini chetlab o'tib targ'ib qilinmoqda. Brauzerni tarqatish uchun pastebin.com shuningdek, turli noqonuniy operatsiyalar, tsenzura, taniqli siyosatchilarning ismlari va boshqalar bilan bog'liq mavzularda eng yaxshi qidiruv tizimlarida paydo bo'lish uchun optimallashtirilgan ko'plab sahifalarni yaratdi.
Pastebin.com saytida brauzerning xayoliy versiyasini reklama qiluvchi sahifalar 500 ming martadan ko'proq ko'rilgan.
Xayoliy tuzilish Tor Brauzer 7.5 kod bazasiga asoslangan va o'rnatilgan zararli funktsiyalardan tashqari, Foydalanuvchi-Agentga kichik tuzatishlar, qo'shimchalar uchun raqamli imzoni tekshirishni o'chirib qo'yish va yangilanishlarni o'rnatish tizimini blokirovka qilish rasmiy brauzer bilan bir xil edi. Tor brauzer. Zararli kiritish standart HTTPS Everywhere qoβshimchasiga kontent ishlovchisini biriktirishdan iborat edi (manifest.jsonga qoβshimcha script.js skripti qoβshilgan). Qolgan o'zgarishlar sozlamalarni sozlash darajasida amalga oshirildi va barcha ikkilik qismlar rasmiy Tor brauzerida qoldi.
HTTPS Hamma joyda integratsiyalangan skript har bir sahifani ochishda boshqaruv serveriga murojaat qildi, u joriy sahifa kontekstida bajarilishi kerak bo'lgan JavaScript kodini qaytardi. Boshqaruv serveri yashirin Tor xizmati sifatida ishlagan. JavaScript kodini bajarish orqali tajovuzkorlar veb-shakllarning mazmunini tutib olishlari, sahifalardagi o'zboshimchalik bilan elementlarni almashtirishlari yoki yashirishlari, xayoliy xabarlarni ko'rsatishlari va h.k. Biroq, zararli kodni tahlil qilganda, faqat darknet tarmog'idagi to'lovlarni qabul qilish sahifalarida QIWI tafsilotlari va Bitcoin hamyonlarini almashtirish uchun kod qayd etilgan. Zararli faoliyat davomida almashtirish uchun ishlatiladigan hamyonlarda 4.8 bitkoin to'plangan, bu taxminan 40 ming dollarga to'g'ri keladi.
Manba: opennet.ru