Tor je projekt čiji je glavni cilj razvoj distribuirane komunikacijske mreže s malim kašnjenjem i superponirane na Internetu, hr ne otkriva identitet svojih korisnika, odnosno njihova IP adresa ostaje anonimna. Prema ovom konceptu, pretraživač je stekao veliku popularnost i postao je široko korišten u svim dijelovima svijeta, uglavnom se njegova upotreba pripisuje ilegalnim aktivnostima s obzirom na njegove karakteristike omogućavanja anonimnosti.
Iako se preglednik nudi korisnicima kako bi se omogućilo sigurnije pregledavanje, a prije svega zbog njegove anonimnosti. Predstavljeni ESET-ovi istraživači nedavno su otkrili širenje lažne verzije preglednika Tor od strane nepoznatih ljudi. Budući da je napravljena kompilacija preglednika koji je pozicioniran kao službena ruska verzija pretraživača Tor, dok njegovi tvorci nisu imali nikakve veze s ovom kompilacijom.
ESET-ov glavni istraživač malvera Anton Cherepanov rekao je to istraga je identificirala tri bitcoin novčanika koja su hakeri koristili od 2017. godine.
'Svaki novčanik sadrži relativno velik broj malih transakcija; smatramo da je ovo potvrda da je ove novčanike koristio trojanizirani preglednik Tor "
Cilj ove modifikovane verzije Tor je zamijenio Bitcoin i QIWI novčanike. Da zavaraju korisnike, tvorci kompilacije registrirali su domene tor-browser.org i torproect.org (razlikuje se od službene stranice torproJect.org u nedostatku slova "J", što mnogi korisnici ruskog govornog područja ostaju neprimijećeni).
Dizajn stranica je stiliziran pod službenu Tor stranicu. Prva stranica prikazala je stranicu upozorenja o korištenju zastarjele verzije preglednika Tor i prijedlog za instaliranje nadogradnje (gdje navedeni link nudi kompilaciju s trojanskim softverom), a na drugoj je sadržaj ponovio stranicu za preuzimanje Tor pretraživač.
Važno je to napomenuti zlonamerna verzija Tor-a konfigurisana je samo za Windows.
Od 2017. godine zlonamjeran preglednik Tor promovira se na raznim forumima na ruskom jeziku, u raspravama vezanim za darknet, kriptovalute, izbjegavanje zaključavanja Roskomnadzora i pitanja privatnosti.
Za distribuciju preglednika na pastebin.com stvorene su i mnoge stranice koje su optimizirane biti prikazan na vrhu pretraživača o temama vezanim za razne ilegalne operacije, cenzuru, imena poznatih političara itd.
Stranice koje oglašavaju lažnu verziju preglednika na pastebin.com pregledane su više od 500 puta.
Fiktivni set zasnovan je na osnovi koda Tor Browser 7.5 I pored zlonamjernih ugrađenih funkcija, manjih podešavanja korisničkog agenta, onemogućavanja provjere digitalnog potpisa za dodatke i zaključavanja sistema za instalaciju ažuriranja, bio je identičan službenom pregledniku Tor.
Zlonamjerni umetak sastojao se od priključivanja kontrolera sadržaja na dodatak HTTPS Svugdje redovito (dodan dodatni script.js skript u manifest.json). Preostale promjene izvršene su na razini postavki konfiguracije, a svi binarni dijelovi zadržani su u službenom Tor pregledniku.
Skripta ugrađena u HTTPS Svugdje, kada se otvorila svaka stranica, je otišao na admin server, koji je vratio JavaScript kôd koji treba izvršiti u kontekstu trenutne stranice.
Poslužitelj za upravljanje radio je kao skriveni Tor servis. Izvršenjem JavaScript koda, napadači mogu organizirati presretanje sadržaja web obrazaca, zamjenu ili skrivanje proizvoljnih elemenata na stranicama, prikaz fiktivnih poruka itd.
Međutim, prilikom analize zlonamjernog koda, zabilježen je samo kod koji zamjenjuje detalje QIWI i Bitcoin novčanika na darknet stranicama za prihvaćanje plaćanja. Tijekom zlonamjerne aktivnosti u novčanicima se nakupilo 4.8 bitkoina kako bi ih zamijenili, što odgovara približno 40 tisuća dolara.