Tor je projekt, ktorého hlavným cieľom je vývoj distribuovanej komunikačnej siete s nízkou latenciou a superponovanou na internete, sk nezverejňuje identitu svojich používateľov, to znamená, že ich IP adresa zostáva anonymná. V rámci tohto konceptu si prehliadač získal veľkú popularitu a stal sa široko používaným vo všetkých častiach sveta. Jeho použitie sa vo všeobecnosti pripisuje nezákonným činnostiam vzhľadom na jeho charakteristiky umožňujúce anonymitu.
Prehliadač sa síce ponúka používateľom s cieľom ponúknuť bezpečnejšie prehliadanie a predovšetkým na zabezpečenie jeho anonymity. Odhalení výskumníci spoločnosti ESET nedávno objavili šírenie falošnej verzie prehliadača Tor cudzincami. Odkedy bola vytvorená kompilácia prehliadača, ktorá bola umiestnená ako oficiálna ruská verzia prehliadača Tor, zatiaľ čo jeho tvorcovia s touto kompiláciou nemali nič spoločné.
Povedal to hlavný výskumník spoločnosti ESET v oblasti malwaru Anton Cherepanov vyšetrovanie identifikovalo tri bitcoinové peňaženky, ktoré hackeri používali od roku 2017.
„Každá peňaženka obsahuje relatívne veľký počet malých transakcií; považujeme to za potvrdenie, že tieto peňaženky použil trojanizovaný prehliadač Tor “
Cieľ tejto upravenej verzie Tor mala nahradiť bitcoinové a QIWI peňaženky. Zavádzanie používateľov: tvorcovia kompilácie zaregistrovali domény tor-browser.org a torproect.org (líši sa od oficiálnej stránky torproJect.org absenciou písmena „J“, ktoré mnoho rusky hovoriacich používateľov zostáva bez povšimnutia).
Dizajn webov bol štylizovaný ako oficiálny web spoločnosti Tor. Prvý web zobrazoval stránku s varovaním o použití zastaranej verzie prehliadača Tor a návrh na inštaláciu aktualizácie (kde uvedený odkaz ponúka kompiláciu so softvérom trójskych koní) a v druhom obsah zopakoval stránku na stiahnutie súboru Tor prehliadač.
Je dôležité spomenúť to škodlivá verzia Tor bola nakonfigurovaná iba pre Windows.
Od roku 2017 je škodlivý prehliadač Tor propagovaný na rôznych fórach v ruštine, v diskusiách týkajúcich sa darknetu, kryptomien, vyhýbania sa zámkom Roskomnadzor a ochrany súkromia.
Na účely distribúcie prehľadávača na pastebin.com bolo tiež vytvorených mnoho optimalizovaných stránok ktoré sa majú zobrazovať v hornej časti vyhľadávacích nástrojov na témy týkajúce sa rôznych nelegálnych operácií, cenzúry, mien známych politikov atď.
Stránky inzerujúce falošnú verziu prehliadača na pastebin.com boli zobrazené viac ako 500 XNUMX krát.
Fiktívna sada bola založená na kódovej základni Tor Browser 7.5 a okrem škodlivých vstavaných funkcií, drobných vylepšení agenta používateľa, zakázania overenia digitálneho podpisu pre doplnky a uzamknutia inštalačného systému aktualizácie bol totožný s oficiálnym prehliadačom Tor.
Škodlivá príloha spočívala v pripojení radiča obsahu k doplnku HTTPS Všade bežné (do súboru manifest.json bol pridaný ďalší skript script.js). Zvyšné zmeny boli vykonané na úrovni konfiguračného nastavenia a všetky binárne časti boli uchované v oficiálnom prehliadači Tor.
Skript zabudovaný do protokolu HTTPS Everywhere, pri otvorení každej stránky, išiel na server administrátora, ktorý vrátil kód JavaScript, ktorý by sa mal vykonať v kontexte aktuálnej stránky.
Server správy fungoval ako skrytá služba Tor. Vďaka vykonaniu kódu JavaScript môžu útočníci organizovať odpočúvanie obsahu webových formulárov, nahradenie alebo skrytie ľubovoľných prvkov na stránkach, zobrazovanie fiktívnych správ atď.
Pri analýze škodlivého kódu bol však zaznamenaný iba kód, ktorý nahradil podrobnosti peňaženiek QIWI a Bitcoin na stránkach akceptovania platieb darknet. V priebehu škodlivej činnosti sa v peňaženkách nahromadilo 4.8 bitcoinov, ktoré ich nahradili, čo zodpovedá približne 40-tisíc dolárom.