Các nhà nghiên cứu từ ESET
Để đánh lừa người dùng, những người tạo ra hội đã đăng ký tên miền tor-browser.org và torproect.org (khác với trang web chính thức của torproJect.org do không có chữ "J" mà nhiều người dùng nói tiếng Nga không chú ý). Thiết kế của các trang web được cách điệu hóa để giống với trang web Tor chính thức. Trang web đầu tiên hiển thị một trang có cảnh báo về việc sử dụng phiên bản Tor Browser đã lỗi thời và đề xuất cài đặt bản cập nhật (liên kết dẫn đến một tập hợp với phần mềm Trojan) và trên trang thứ hai, nội dung giống với trang để tải xuống Trình duyệt tor. Tập hợp độc hại chỉ được tạo cho Windows.
Kể từ năm 2017, Trojan Tor Browser đã được quảng bá trên nhiều diễn đàn tiếng Nga khác nhau, trong các cuộc thảo luận liên quan đến darknet, tiền điện tử, bỏ qua việc chặn Roskomnadzor và các vấn đề về quyền riêng tư. Để phân phối trình duyệt, Pastebin.com cũng tạo ra nhiều trang được tối ưu hóa để xuất hiện trên các công cụ tìm kiếm hàng đầu về các chủ đề liên quan đến các hoạt động bất hợp pháp, kiểm duyệt, tên tuổi của các chính trị gia nổi tiếng, v.v.
Các trang quảng cáo phiên bản hư cấu của trình duyệt trên Pastebin.com đã được xem hơn 500 nghìn lần.
Bản dựng giả tưởng dựa trên cơ sở mã Tor Browser 7.5 và, ngoài các chức năng độc hại tích hợp, các điều chỉnh nhỏ đối với Tác nhân người dùng, vô hiệu hóa xác minh chữ ký số cho các tiện ích bổ sung và chặn hệ thống cài đặt bản cập nhật, giống hệt với bản chính thức. Trình duyệt tor. Việc chèn độc hại bao gồm đính kèm trình xử lý nội dung vào tiện ích bổ sung HTTPS Everywhere tiêu chuẩn (một tập lệnh script.js bổ sung đã được thêm vào tệp kê khai.json). Những thay đổi còn lại được thực hiện ở cấp độ điều chỉnh cài đặt và tất cả các phần nhị phân vẫn được giữ nguyên từ Trình duyệt Tor chính thức.
Tập lệnh được tích hợp vào HTTPS Everywhere, khi mở từng trang, sẽ liên hệ với máy chủ điều khiển, máy chủ này trả về mã JavaScript cần được thực thi trong ngữ cảnh của trang hiện tại. Máy chủ điều khiển hoạt động như một dịch vụ Tor ẩn. Bằng cách thực thi mã JavaScript, kẻ tấn công có thể chặn nội dung của biểu mẫu web, thay thế hoặc ẩn các phần tử tùy ý trên trang, hiển thị thông báo hư cấu, v.v. Tuy nhiên, khi phân tích mã độc, chỉ có mã thay thế chi tiết QIWI và ví Bitcoin trên các trang chấp nhận thanh toán trên darknet được ghi lại. Trong hoạt động độc hại, 4.8 Bitcoin đã được tích lũy trên các ví được sử dụng để thay thế, tương ứng với khoảng 40 nghìn đô la.
Nguồn: opennet.ru