Atacantes desconhecidos estão distribuindo uma versão do navegador Tor com código malicioso na Internet. programaposicionado como a versão oficial russa do Tor.
Os links para o arquivo de instalação foram publicados emvários fóruns e sites pastebin.com, tor-browser.org e torproect.org. No momento, os pesquisadores encontraram o instalador apenas para Windows, portanto, os dispositivos baseados no macOS e Linux não eram suscetíveis a ataques.
Após a instalação, o Tor funciona normalmente, no entanto,hackers fizeram alterações nas configurações e extensões para desativar as atualizações automáticas. Os invasores também modificaram o User-Agent padrão para rastrear o IP do usuário. Além disso, um script foi incorporado ao complemento HTTPS Everywhere, carregado quando cada página é aberta e envia dados sobre as ações de uma pessoa ao servidor do criminoso. Para fazer isso, os fraudadores desativaram a opção xpinstall.signatures.required, que verifica as assinaturas digitais do software para proteger informações e anonimato.
O roubo de dinheiro ocorre no momento da transferênciafundos para as contas de três pregões ilegais de língua russa. O JavaScript é integrado à versão falsa do navegador, que é carregada quando um usuário tenta repor o equilíbrio nesses mercados. O script é ativado e altera o endereço da carteira Bitcoin ou o número da conta QIWI especificado na conta pessoal para dados de pagamento pertencentes aos atacantes.
Os especialistas não podem determinar a quantidade exatadownloads de malware, no entanto, tornou-se conhecido que a página Tor com o Trojan no PasteBin foi visitada pelo menos 500.000 vezes. As famosas carteiras de hackers armazenam 4,8 BTC (quase US $ 40.000). Os desenvolvedores de antivírus da ESET sugerem que a quantidade de dano é muito maior quando você considera o dinheiro que está nas contas no QIWI. A idéia dos autores do projeto pode ser chamada de crime ideal, pois as vítimas não recorrerão às agências policiais, porque elas mesmas violaram a lei comprando mercadorias ilegais no escuro.