Tor - это проект, основная цель которого развитие распределенной коммуникационной сети с малой задержкой, наложенной на Интернет, en не раскрывает личность своих пользователей, то есть их IP-адрес остается анонимным. В соответствии с этой концепцией браузер приобрел большую популярность и стал широко использоваться во всех частях мира, как правило, его использование связано с незаконной деятельностью, учитывая его характеристики, обеспечивающие анонимность.
Хотя браузер предлагается пользователям для обеспечения более безопасного просмотра и, прежде всего, для обеспечения его анонимности. Исследователи ESET представили недавно они обнаружили распространение незнакомцами поддельной версии браузера Tor. Поскольку была сделана компиляция браузера, который позиционировался как официальная русская версия браузера Tor, при этом его создатели не имели отношения к этой компиляции.
Главный исследователь вредоносного ПО компании ESET Антон Черепанов сказал, что расследование выявило три биткойн-кошелька, которые использовались хакерами с 2017 года.
«Каждый кошелек содержит относительно большое количество мелких транзакций; мы считаем это подтверждением того, что эти кошельки использовались троянизированным браузером Tor "
Цель этой модифицированной версии Tor должна была заменить кошельки Bitcoin и QIWI. Чтобы ввести пользователей в заблуждение, создатели компиляции зарегистрировали домены tor-browser.org и torproect.org (отличается от официального сайта torproJect.org отсутствием буквы «J», которую многие русскоязычные пользователи не замечают).
Дизайн сайтов был стилизован под официальный сайт Tor. На первом сайте была страница с предупреждением об использовании устаревшей версии браузера Tor и с предложением установить обновление (где предоставленная ссылка предлагает компиляцию с троянским программным обеспечением), а на втором содержании повторялась страница для загрузки Браузер Tor.
Важно отметить, что вредоносная версия Tor была настроена только для Windows.
С 2017 года вредоносный браузер Tor продвигается на различных форумах на русском языке, в обсуждениях, связанных с даркнетом, криптовалютами, обходом блокировок Роскомнадзора и проблемами конфиденциальности.
Для распространения браузера на pastebin.com также было создано множество оптимизированных страниц. быть в топе поисковых систем по темам, связанным с различными незаконными операциями, цензурой, именами известных политиков и т. д.
Страницы, рекламирующие поддельную версию браузера на pastebin.com, были просмотрены более 500 XNUMX раз.
Вымышленный набор был основан на базе кода Tor Browser 7.5. и помимо встроенных вредоносных функций, незначительных настроек пользовательского агента, отключения проверки цифровой подписи для плагинов и блокировки системы установки обновлений, он был идентичен официальному браузеру Tor.
Вредоносная вставка заключалась в подключении контроллера контента к плагину HTTPS. Regular Everywhere (добавлен дополнительный скрипт script.js в manifest.json). Остальные изменения были внесены на уровне настроек конфигурации, и все двоичные части были сохранены в официальном браузере Tor.
Скрипт, встроенный в HTTPS Everywhere, при открытии каждой страницы перешел на сервер администратора, который вернул код JavaScript, который должен быть выполнен в контексте текущей страницы.
Сервер управления работал как скрытая служба Tor. Посредством выполнения кода JavaScript злоумышленники могут организовать перехват содержимого веб-форм, замену или скрытие произвольных элементов на страницах, отображение фиктивных сообщений и т. Д.
Однако при анализе вредоносного кода был зафиксирован только код для замены реквизитов QIWI и биткойн-кошельков на страницах приема платежей в даркнете. В ходе вредоносной активности в кошельках было скоплено 4.8 биткойна для их замены, что соответствует примерно 40 тысячам долларов.