Исследователи из компании ESET выявили распространение неизвестными злоумышленниками вредоносной сборки Tor Browser. Сборка позиционировалась как официальная русская версия Tor Browser, в то время как к проекту Tor её создатели не имеют никакого отношения, а целью создание была подмена кошельков Bitcoin и QIWI.

Для введения пользователей в заблуждение создатели сборки зарегистрировали домены tor-browser.org и torproect.org (отличается от официального сайта torproJect.org отсутствием буквы "J", что многими русскоязычными пользователями остаётся незамеченным). Оформление сайтов было стилизовано под официальный сайт Tor. На первом сайте выводилась страница с предупреждением об использовании устаревшей версии Tor Browser и предложением установить обновление (ссылка вела на сборку с троянским ПО), а на втором содержимое повторяло страницу для загрузки Tor Browser. Вредоносная сборка была формирована только для Windows.



Троянский Tor Browser с 2017 года продвигался на различных русскоязычных форумах, в обсуждениях связанных с даркнетом, криптовалютами, обходом блокировок Роскомнадзора и вопросами обеспечения конфиденциальности. Для распространения браузера на pastebin.com также было создано множество страниц, оптимизированных для вывода в топе поисковых систем по темам, связанным с различными незаконными операциями, цензурой, именами известных политиков и т.п. Страницы с рекламой фиктивной версией браузера на pastebin.com были просмотрены более 500 тысяч раз.



Фиктивная сборка была основана кодовой базе Tor Browser 7.5 и кроме встроенных вредоносных функций, небольшой корректировки User-Agent, отключения проверки цифровых подписей для дополнений и блокирования системы установки обновлений была идентична официальному Tor Browser. Вредоносная вставка сводилась к прикреплению обработчика контента в штатное дополнение HTTPS Everywhere (в manifest.json был добавлен дополнительный скрипт script.js). Остальные изменения были произведены на уровне корректировки настроек, а все бинарные части оставались от официального Tor Browser.

Интегрированный в HTTPS Everywhere скрипт при открытии каждой страницы обращался к управляющему серверу, который возвращал JavaScript-код, который следовало исполнить в контексте текущей страницы. Управляющий сервер функционировал как скрытый сервис Tor. Через выполнения JavaScript-кода злоумышленники могли организовать перехват содержимого web-форм, подстановку или скрытие произвольных элементов на страницах, отображение фиктивных сообщений и т.п. Тем не менее, при анализе вредоносного кода было зафиксирован только код для подмены реквизитов QIWI и кошельков Bitcoin на страницах приёма платежей в darknet. В ходе вредоносной деятельности на используемых для подмены кошельках накопилось 4.8 Bitcoin, что соответствует примерно 40 тысячам долларов.