ESET 研究人员 分发由未知攻击者构建的恶意 Tor 浏览器。 该程序集被定位为 Tor 浏览器的官方俄罗斯版本,而其创建者与 Tor 项目无关,其创建的目的是取代比特币和 QIWI 钱包。
为了误导用户,程序集的创建者注册了域名 tor-browser.org 和 torproect.org(与 torpro 官方网站不同)Ject.org 的原因是缺少字母“J”,许多俄语用户都没有注意到)。 这些网站的设计风格类似于 Tor 官方网站。 第一个站点显示了一个页面,其中包含有关使用过时版本的 Tor 浏览器的警告以及安装更新的建议(该链接导致带有木马软件的程序集),而第二个站点的内容与下载页面相同托尔浏览器。 该恶意程序集仅针对 Windows 创建。
自 2017 年以来,Tor 浏览器木马在各种俄语论坛上得到推广,讨论涉及暗网、加密货币、绕过 Roskomnadzor 封锁和隐私问题。 为了分发浏览器,pastebin.com 还创建了许多经过优化的页面,以出现在顶级搜索引擎中,主题涉及各种非法操作、审查制度、著名政治家的名字等。
Pastebin.com 上虚构的浏览器版本广告页面的浏览量超过 500 万次。
该虚构版本基于 Tor 浏览器 7.5 代码库,除了内置恶意功能外,还对用户代理进行了细微调整,禁用了附加组件的数字签名验证,并阻止了更新安装系统,与官方版本完全相同。托尔浏览器。 恶意插入包括将内容处理程序附加到标准 HTTPS Everywhere 附加组件(一个额外的 script.js 脚本已添加到manifest.json)。 其余的更改是在调整设置级别进行的,所有二进制部分仍然来自官方 Tor 浏览器。
集成到 HTTPS Everywhere 中的脚本在打开每个页面时都会联系控制服务器,控制服务器返回应在当前页面上下文中执行的 JavaScript 代码。 控制服务器充当隐藏的 Tor 服务。 通过执行 JavaScript 代码,攻击者可以拦截 Web 表单的内容、替换或隐藏页面上的任意元素、显示虚构的消息等。 然而,在分析恶意代码时,只记录了暗网支付接受页面上替换QIWI详细信息和比特币钱包的代码。 在恶意活动期间,用于替代的钱包中累积了 4.8 个比特币,相当于约 40 万美元。
来源: opennet.ru