Tor - це проект, головним завданням якого є розвиток розподіленої комунікаційної мережі з низькою затримкою і накладеної на Інтернет, uk не розкриває особу своїх користувачів, тобто їхня IP-адреса залишається анонімною. Згідно з цією концепцією, браузер набув великої популярності та став широко використовуватися у всіх частинах світу, як правило, його використання приписують незаконній діяльності, враховуючи його характеристики дозволу анонімності.
Хоча браузер пропонується користувачам для того, щоб запропонувати безпечніший перегляд і, перш за все, запропонувати свою анонімність. Представлені дослідники ESET нещодавно вони виявили поширення фальшивої версії браузера Tor незнайомцями. Оскільки була зроблена компіляція браузера, який позиціонувався як офіційна російська версія браузера Tor, тоді як його творці не мали нічого спільного з цією компіляцією.
Про це сказав головний дослідник зловмисного програмного забезпечення ESET Антон Черепанов слідство виявило три біткойн-гаманці, якими хакери користуються з 2017 року.
'Кожен гаманець містить відносно велику кількість дрібних транзакцій; ми вважаємо це підтвердженням того, що ці гаманці використовували троянізований браузер Tor "
Мета цієї модифікованої версії Tor повинен був замінити гаманці Bitcoin та QIWI. Щоб ввести користувачів в оману, творці збірки зареєстрували домени tor-browser.org та torproect.org (відрізняється від офіційного сайту torproJect.org відсутністю літери "J", яку багато російськомовних користувачів залишають непоміченими).
Дизайн сайтів був оформлений як офіційний сайт Tor. Перший сайт показав попереджувальну сторінку про використання застарілої версії браузера Tor та пропозицію встановити оновлення (де посилання пропонує компіляцію з троянським програмним забезпеченням), а на другому вміст повторив сторінку для завантаження Tor браузер.
Важливо зазначити це шкідлива версія Tor була налаштована лише для Windows.
З 2017 року шкідливий браузер Tor рекламується на різних форумах російською мовою, в дискусіях, пов’язаних з darknet, криптовалютами, уникаючи блокування Роскомнагляду та питань конфіденційності.
Для розповсюдження браузера на pastebin.com також було створено багато сторінок, які оптимізовані відображатись у верхній частині пошукових систем на теми, пов’язані з різними незаконними операціями, цензурою, іменами відомих політиків тощо.
Сторінки, що рекламують фейкову версію веб-переглядача на сайті pastebin.com, переглядали більше 500 XNUMX разів.
Вигаданий набір базувався на базі коду Tor Browser 7.5 і на додаток до шкідливих вбудованих функцій, незначних налаштувань агента користувача, відключення перевірки цифрового підпису для плагінів та блокування системи встановлення оновлення, він був ідентичним офіційному браузеру Tor.
Шкідлива вставка складалася з підключення контролера вмісту до плагіна HTTPS Regular Everywhere (додано додатковий сценарій script.js до manifest.json). Решта змін були внесені на рівні налаштувань конфігурації, а всі двійкові частини зберігалися в офіційному браузері Tor.
Скрипт, вбудований у HTTPS скрізь, коли відкривалася кожна сторінка, перейшов на сервер адміністратора, який повернув код JavaScript, який слід виконати в контексті поточної сторінки.
Сервер управління працював як прихована служба Tor. За допомогою виконання коду JavaScript зловмисники можуть організувати перехоплення вмісту веб-форм, заміну або приховування довільних елементів на сторінках, показ фіктивних повідомлень тощо.
Однак під час аналізу шкідливого коду було записано лише код, який замінює деталі гаманців QIWI та Bitcoin на сторінках прийому платежів darknet. За час зловмисної діяльності в гаманцях було накопичено 4.8 біткойна для їх заміни, що відповідає приблизно 40 тисячам доларів.