Torは主な目的が 低遅延でインターネット上に重ねられた分散型通信ネットワークの開発、 enはユーザーの身元を明らかにしません。つまり、ユーザーのIPアドレスは匿名のままです。。 このコンセプトの下で、ブラウザは非常に人気があり、世界中で広く使用されるようになりました。匿名性を許可するという特性から、一般的にその使用は違法行為に起因します。
ブラウザは、より安全なブラウジングを提供するために、そして何よりも匿名性を提供するためにユーザーに提供されていますが。 ESETの研究者がリリース 最近彼らは発見しました 見知らぬ人によるTorブラウザの偽のバージョンの拡散。 Torブラウザーの公式ロシア語版として位置付けられたブラウザーのコンパイルが行われたため、その作成者はこのコンパイルとは何の関係もありませんでした。
ESETの主任マルウェア研究者であるAntonCherepanovは、次のように述べています。 調査により、2017年以降にハッカーが使用したXNUMXつのビットコインウォレットが特定されました。
'各ウォレットには、比較的多数の小さなトランザクションが含まれています。 これは、これらのウォレットがトロイの木馬化されたTorブラウザによって使用されたことの確認であると考えています。
目的 Torのこの修正バージョンの ビットコインとQIWIウォレットを交換することでした。 ユーザーを誤解させるために、 コンパイルの作成者は、ドメインtor-browser.orgおよびtorproect.orgを登録しました (ロシア語を話す多くのユーザーが気付かない「J」の文字がない場合は、公式サイトtorproJect.orgとは異なります)。
サイトのデザインは公式のTorサイトとして定型化されました。 最初のサイトは、古いバージョンのTorブラウザーの使用に関する警告ページと、更新プログラムのインストールの提案(提供されたリンクは、トロイの木馬ソフトウェアを使用したコンパイルを提供します)を示し、XNUMX番目のサイトでは、コンテンツがページを繰り返してダウンロードしました。 Torブラウザ。
言及することが重要です 悪意のあるバージョンのTorはWindows専用に構成されていました。
2017年以来、悪意のあるTorブラウザはロシア語のさまざまなフォーラムで宣伝されています。 ダークネット、暗号通貨、Roskomnadzorロックおよびプライバシー問題の回避に関連する議論で。
ブラウザーをpastebin.comで配布するために、最適化された多くのページも作成されています さまざまな違法行為、検閲、有名な政治家の名前などに関連するトピックについて検索エンジンの上部に表示されます。
Pastebin.comで偽のバージョンのブラウザを宣伝しているページは、500万回以上閲覧されています。
架空のセットは、Tor Browser7.5コードベースに基づいていました また、悪意のある組み込み機能、マイナーなユーザーエージェントの調整、プラグインのデジタル署名検証の無効化、更新インストールシステムのロックに加えて、公式のTorブラウザーと同じでした。
悪意のある挿入は、コンテンツコントローラーをHTTPSプラグインに接続することで構成されていました どこでも定期的(manifest.jsonにスクリプトscript.jsを追加)。 残りの変更は構成設定レベルで行われ、すべてのバイナリ部分は公式のTorブラウザーに保持されました。
HTTPS Everywhereに組み込まれているスクリプトは、各ページが開かれたときに、 管理サーバーに移動し、実行する必要のあるJavaScriptコードが返されました 現在のページのコンテキストで。
管理サーバーは隠しTorサービスとして機能しました。 攻撃者は、JavaScriptコードの実行を通じて、Webフォームのコンテンツの傍受、ページ上の任意の要素の置換または非表示、架空のメッセージの表示などを整理できます。
ただし、悪意のあるコードを分析した場合、ダークネットの支払い受け入れページにあるQIWIおよびビットコインウォレットの詳細を置き換えるコードのみが記録されました。 悪意のある活動の過程で、4.8ビットコインがウォレットに蓄積されてそれらを置き換えました。これは約40万ドルに相当します。