A Tor egy olyan projekt, amelynek fő célja az alacsony internetkapcsolatú, alacsony késési idejű elosztott kommunikációs hálózat fejlesztése, hu nem fedi fel felhasználói identitását, vagyis IP-címük névtelen marad. E fogalom szerint a böngésző nagy népszerűségnek örvend és széles körben elterjedt a világ minden részén, használatát általában illegális tevékenységeknek tulajdonítják, tekintettel a névtelenség engedélyezésére.
Bár a böngészőt a biztonságosabb böngészés és mindenekelőtt a névtelenség érdekében kínálják a felhasználóknak. Az ESET kutatói bemutatták nemrégiben fedezték fel a Tor böngésző hamis verziójának elterjesztése idegenekkel. Mivel elkészült a böngészőből egy olyan összeállítás, amelyet a Tor böngésző hivatalos orosz változataként pozícionáltak, miközben alkotóinak semmi közük ehhez az összeállításhoz.
Az ESET fő kártevő-kutatója, Anton Cserepanov azt mondta a vizsgálat három bitcoin pénztárcát azonosított, amelyet 2017 óta hackerek használtak.
„Minden pénztárca viszonylag sok kis tranzakciót tartalmaz; ezt megerősítésnek tekintjük arról, hogy ezeket a pénztárcákat a trójaiak Tor böngésző használta "
A cél a Tor ezen módosított változatának a Bitcoin és a QIWI pénztárcák cseréje volt. A felhasználók megtévesztésére az összeállítás készítői regisztrálták a tor-browser.org és a torproect.org domaineket (különbözik a hivatalos torproJect.org oldaltól a "J" betű hiányában, amelyet sok oroszul beszélő felhasználó észre sem vesz).
Az oldalak kialakítását a Tor hivatalos webhelyeként stilizálták. Az első webhely figyelmeztető oldalt mutatott be a Tor böngésző elavult verziójának használatáról, valamint javaslatot tett egy frissítés telepítésére (ahol a megadott link a trójai szoftverrel való összeállítást kínálja), a másodikban pedig a tartalom megismételte az oldalt a Tor böngésző.
Fontos ezt megemlíteni a Tor rosszindulatú verzióját csak Windows rendszerre konfigurálták.
2017 óta a rosszindulatú Tor böngészőt különböző fórumokon hirdették oroszul, a darknet-nel, a kriptovalutákkal kapcsolatos megbeszélések során, a Roskomnadzor zárainak elkerülése és az adatvédelmi kérdések.
A böngésző terjesztéséhez a pastebin.com oldalon számos optimalizált oldalt hoztak létre megjeleníteni a keresőmotorok tetején a különböző illegális műveletekkel, cenzúrával, híres politikusok nevével stb. kapcsolatos témákról.
A böngésző hamis verzióját hirdető oldalakat a pastebin.com-on több mint 500 XNUMX alkalommal tekintették meg.
A fiktív készlet a Tor Browser 7.5 kódbázisra épült A rosszindulatú beépített funkciók mellett a kisebb felhasználói ügynökök módosítása, a digitális aláírás ellenőrzésének letiltása a beépülő moduloknál és a frissítést telepítő rendszer lezárása mellett megegyezett a hivatalos Tor böngészővel.
A rosszindulatú betét abból állt, hogy tartalomvezérlőt csatoltak a HTTPS bővítményhez Mindenhol rendszeresen (hozzáadva további script.js parancsfájlt a manifest.json fájlhoz). A fennmaradó módosításokat a konfigurációs beállítások szintjén hajtották végre, és az összes bináris részt a hivatalos Tor böngészőben tárolták.
A HTTPS Everywhere beépített szkript minden oldal megnyitásakor elment az admin szerverhez, amely visszaküldte a végrehajtandó JavaScript kódot az aktuális oldal összefüggésében.
A felügyeleti szerver rejtett Tor szolgáltatásként működött. A JavaScript kód végrehajtásával a támadók megszervezhetik a webes űrlapok tartalmának elfogását, tetszőleges elemek cseréjét vagy elrejtését az oldalakon, fiktív üzenetek megjelenítését stb.
A rosszindulatú kód elemzésekor azonban csak azt a kódot rögzítették, amely helyettesíti a QIWI és a Bitcoin pénztárcák részleteit a darknet fizetési elfogadó oldalakon. A rosszindulatú tevékenység során 4.8 Bitcoint halmoztak fel a pénztárcákban azok pótlására, ami megközelítőleg 40 ezer dollárnak felel meg.