Tor on projekt, mille peamine eesmärk on madala latentsusega hajutatud sidevõrgu arendamine, mis on Internetis, et kasutajate isikut ei paljastata, st nende IP-aadress jääb anonüümseks. Selle kontseptsiooni kohaselt on brauser kogunud palju populaarsust ja seda on laialdaselt kasutatud kõikjal maailmas. Anonüümsuse võimaldamise tunnused on tavaliselt seotud selle ebaseadusliku tegevusega.
Kuigi brauserit pakutakse kasutajatele turvalisema sirvimise pakkumiseks ja ennekõike selle anonüümsuse pakkumiseks. ESETi teadlased vabastasid hiljuti on nad avastanud Tori brauseri võltsversiooni levitamine võõraste poolt. Kuna tehti brauseri kompileerimine, mis asetati brauseri Tor ametliku venekeelse versioonina, ei olnud selle loojatel selle kompileerimisega midagi pistmist.
ESETi peamine pahavara uurija Anton Tšerepanov ütles seda uurimise käigus tuvastati kolm bitcoini rahakotti, mida häkkerid kasutasid alates 2017. aastast.
"Iga rahakott sisaldab suhteliselt palju väikesi tehinguid; peame seda kinnituseks, et troojadega Tori brauser kasutas neid rahakotte "
Eesmärk selle Tori muudetud versiooni pidi asendama Bitcoini ja QIWI rahakotid. Kasutajate eksitamiseks kompileerimise loojad registreerisid domeenid tor-browser.org ja torproect.org (erineb ametlikust saidist torproJect.org "J" tähe puudumise tõttu, mida paljud venekeelsed kasutajad märkamata jätavad).
Saitide kujundus stiliseeriti Tori ametlikuks saidiks. Esimesel saidil kuvati hoiatusleht Tori brauseri vananenud versiooni kasutamise kohta ja ettepanek värskenduse installimiseks (kus pakutav link pakub Trooja tarkvaraga kompileerimist) ja teisel kordas sisu lehte Tori brauseri allalaadimiseks.
Oluline on seda mainida Tori pahatahtlik versioon oli konfigureeritud ainult Windowsi jaoks.
Alates 2017. aastast on pahatahtlikku Tori brauserit reklaamitud erinevates vene keeles foorumites, aruteludes, mis on seotud darkneti, krüptovaluutadega, Roskomnadzori lukkude vältimisega ja privaatsusega seotud probleemidega.
Brauseri levitamiseks saidil pastebin.com on loodud ka palju optimeeritud lehti kuvada otsingumootorite ülaosas teemadel, mis on seotud erinevate ebaseaduslike operatsioonide, tsensuuri, kuulsate poliitikute nimedega jne.
Lehekülgi pastebin.com brauseri võltsversiooni reklaamivaid lehti on vaadatud üle 500 XNUMX korra.
Fiktiivne komplekt põhines Tor Browser 7.5 koodibaasil Lisaks pahatahtlikele sisseehitatud funktsioonidele, väiksematele kasutajaagendi kohandamistele, pistikprogrammide digitaalse allkirja kinnitamise keelamisele ja värskenduse installisüsteemi lukustamisele oli see identne ametliku Tori brauseriga.
Pahatahtlik sisestus seisnes sisukontrolleri lisamises HTTPS-i pistikprogrammi Kõikjal tavaline (lisatud manifest.jsonile täiendav skript script.js). Ülejäänud muudatused tehti konfiguratsiooniseadete tasemel ja kõiki binaarseid osi hoiti ametlikus brauseris Tor.
HTTPS Everywhere sisse ehitatud skript, kui iga leht avati, läks administraatori serverisse, mis tagastas käivitatava JavaScripti koodi praeguse lehe kontekstis.
Haldusserver töötas varjatud Tori teenusena. JavaScripti koodi käivitamise kaudu saavad ründajad korraldada veebivormide sisu pealtkuulamist, meelevaldsete elementide asendamist või peitmist lehtedel, fiktiivsete sõnumite kuvamist jne.
Pahatahtliku koodi analüüsimisel registreeriti aga ainult darknet-i maksete vastuvõtmise lehtedel QIWI ja Bitcoini rahakottide üksikasju asendav kood. Pahatahtliku tegevuse käigus kogunes rahakottidesse nende asendamiseks 4.8 bitcoini, mis vastab ligikaudu 40 tuhandele dollarile.