Tor is een project met als hoofddoel de ontwikkeling van een gedistribueerd communicatienetwerk met een lage latentie en over het internet heen, en onthult de identiteit van zijn gebruikers niet, dat wil zeggen dat hun IP-adres anoniem blijft Volgens dit concept heeft de browser veel populariteit gewonnen en wordt hij op grote schaal gebruikt in alle delen van de wereld, over het algemeen wordt het gebruik ervan toegeschreven aan illegale activiteiten, gezien de kenmerken van het toestaan van anonimiteit.
Hoewel de browser wordt aangeboden aan gebruikers om veiliger browsen te bieden en vooral om zijn anonimiteit te bieden. ESET-onderzoekers onthuld onlangs hebben ze ontdekt de verspreiding van een nepversie van de Tor-browser door vreemden. Omdat er een compilatie van de browser werd gemaakt die was gepositioneerd als de officiële Russische versie van de Tor-browser, terwijl de makers niets met deze compilatie te maken hadden.
Anton Cherepanov, Principal Malware Researcher van ESET, zei dat het onderzoek had drie bitcoin-wallets geïdentificeerd die sinds 2017 door hackers worden gebruikt.
'Elke portemonnee bevat relatief veel kleine transacties; we beschouwen dit als een bevestiging dat deze wallets werden gebruikt door de getrojaniseerde Tor-browser "
Het doel van deze gewijzigde versie van Tor was om Bitcoin- en QIWI-portefeuilles te vervangen Om gebruikers te misleiden, de makers van de compilatie hebben de domeinen tor-browser.org en torproect.org geregistreerd (verschilt van de officiële site torproJect.org in de afwezigheid van de letter "J", die veel Russisch sprekende gebruikers onopgemerkt blijven).
Het ontwerp van de sites werd gestileerd als de officiële Tor-site. De eerste site toonde een waarschuwingspagina over het gebruik van een verouderde versie van de Tor-browser en een voorstel om een update te installeren (waar de aangeboden link de compilatie met de Trojaanse software biedt) en in de tweede herhaalde de inhoud de pagina om de Tor-browser.
Het is belangrijk om dat te vermelden de kwaadaardige versie van Tor is alleen voor Windows geconfigureerd.
Sinds 2017 wordt de kwaadaardige Tor-browser gepromoot op verschillende forums in het Russisch, in discussies met betrekking tot darknet, cryptocurrencies, het vermijden van Roskomnadzor-sloten en privacyproblemen.
Om de browser op pastebin.com te verspreiden, zijn er ook veel pagina's gemaakt die zijn geoptimaliseerd om bovenaan in zoekmachines te worden weergegeven over onderwerpen die verband houden met verschillende illegale operaties, censuur, namen van beroemde politici, enz.
Pagina's die reclame maken voor een nepversie van de browser op pastebin.com zijn meer dan 500 keer bekeken.
De fictieve set was gebaseerd op de Tor Browser 7.5-codebasis En naast de kwaadaardige ingebouwde functies, kleine aanpassingen aan de user-agent, het uitschakelen van digitale handtekeningverificatie voor plug-ins en het vergrendelen van het installatiesysteem voor updates, was het identiek aan de officiële Tor-browser.
De kwaadaardige invoeging bestond uit het koppelen van een inhoudscontroller aan de HTTPS-plug-in Overal normaal (extra script.js-script toegevoegd aan manifest.json). De overige wijzigingen werden aangebracht op het niveau van de configuratie-instellingen en alle binaire delen werden bewaard in de officiële Tor-browser.
Het script ingebouwd in HTTPS Everywhere, wanneer elke pagina werd geopend, ging naar de admin-server, die de JavaScript-code retourneerde die moest worden uitgevoerd in de context van de huidige pagina.
De beheerserver werkte als een verborgen Tor-service. Door JavaScript-code uit te voeren, kunnen aanvallers de onderschepping van de inhoud van webformulieren organiseren, willekeurige elementen op de pagina's vervangen of verbergen, fictieve berichten weergeven, enz.
Bij het analyseren van de kwaadaardige code werd echter alleen de code geregistreerd om de details van QIWI- en Bitcoin-portefeuilles op de darknet-betalingsacceptatiepagina's te vervangen. In de loop van de kwaadaardige activiteit werden 4.8 Bitcoins in de wallets verzameld om ze te vervangen, wat overeenkomt met ongeveer 40 duizend dollar.