ESET 研究人員 分發由未知攻擊者建構的惡意 Tor 瀏覽器。 該程式集被定位為 Tor 瀏覽器的官方俄羅斯版本,而其創建者與 Tor 專案無關,其創建的目的是取代比特幣和 QIWI 錢包。
為了誤導用戶,程式集的創建者註冊了網域 tor-browser.org 和 torproect.org(與 torpro 官方網站不同)Ject.org 的原因是缺少字母“J”,許多俄語使用者都沒有註意到)。 這些網站的設計風格類似於 Tor 官方網站。 第一個網站顯示了一個頁面,其中包含有關使用過時版本的 Tor 瀏覽器的警告以及安裝更新的建議(該連結導致帶有木馬軟體的組件),而第二個網站的內容與下載頁面相同托爾瀏覽器。 該惡意程式集僅針對 Windows 建立。
自 2017 年以來,Tor 瀏覽器木馬在各種俄語論壇上得到推廣,討論涉及暗網、加密貨幣、繞過 Roskomnadzor 封鎖和隱私問題。 為了分發瀏覽器,pastebin.com 還創建了許多經過優化的頁面,以出現在頂級搜尋引擎中,主題涉及各種非法操作、審查制度、著名政治家的名字等。
Pastebin.com 上虛構的瀏覽器版本廣告頁面的瀏覽量超過 500 萬次。
這個虛構版本基於 Tor 瀏覽器 7.5 程式碼庫,除了內建惡意功能外,還對用戶代理進行了細微調整,禁用了附加元件的數位簽章驗證,並阻止了更新安裝系統,與官方版本完全相同。托爾瀏覽器。 惡意插入包括將內容處理程序附加到標準 HTTPS Everywhere 附加元件(一個額外的 script.js 腳本已新增至manifest.json)。 其餘的變更是在調整設定層級進行的,所有二進位部分仍然來自官方 Tor 瀏覽器。
整合到 HTTPS Everywhere 中的腳本在開啟每個頁面時都會聯繫控制伺服器,控制伺服器傳回應在目前頁面上下文中執行的 JavaScript 程式碼。 控制伺服器充當隱藏的 Tor 服務。 透過執行 JavaScript 程式碼,攻擊者可以攔截 Web 表單的內容、替換或隱藏頁面上的任意元素、顯示虛構的訊息等。 然而,在分析惡意程式碼時,只記錄了暗網支付接受頁面上替換QIWI詳細資料和比特幣錢包的程式碼。 在惡意活動期間,用於替代的錢包中累積了 4.8 個比特幣,相當於約 40 萬美元。
來源: opennet.ru