Tor er et projekt, hvis hovedmål er udvikling af et distribueret kommunikationsnetværk med lav latenstid og overlejret på internettet da afslører ikke brugernes identitet, dvs. deres IP-adresse forbliver anonym. Under dette koncept har browseren vundet stor popularitet og er blevet meget udbredt i alle dele af verden, generelt tilskrives dens anvendelse ulovlige aktiviteter i betragtning af dens egenskaber ved at tillade anonymitet.
Selvom browseren tilbydes til brugere for at tilbyde mere sikker browsing og frem for alt for at tilbyde sin anonymitet. ESET-forskere frigivet for nylig har de opdaget spredning af en falsk version af Tor-browseren af fremmede. Siden der blev lavet en samling af browseren, der var placeret som den officielle russiske version af Tor-browseren, mens dens skabere ikke havde noget at gøre med denne samling.
ESETs vigtigste malwareforsker Anton Cherepanov sagde det efterforskningen havde identificeret tre bitcoin-tegnebøger, der er brugt af hackere siden 2017.
'Hver tegnebog indeholder et relativt stort antal små transaktioner; vi betragter dette som en bekræftelse på, at disse tegnebøger blev brugt af den trojaniserede Tor-browser "
Målet af denne ændrede version af Tor skulle erstatte Bitcoin- og QIWI-tegnebøger. For at vildlede brugere, skaberne af samlingen registrerede domænerne tor-browser.org og torproect.org (adskiller sig fra det officielle websted torproJect.org i mangel af bogstavet "J", som mange russisktalende brugere ikke bliver lagt mærke til).
Webstedsdesignet blev stiliseret som det officielle Tor-sted. Det første sted viste en advarselsside om brug af en forældet version af Tor-browseren og et forslag om at installere en opdatering (hvor det medfølgende link tilbyder kompilering med Trojan-softwaren), og i det andet gentog indholdet siden for at downloade Tor-browseren.
Det er vigtigt at nævne det den ondsindede version af Tor blev kun konfigureret til Windows.
Siden 2017 er den ondsindede Tor-browser blevet promoveret i forskellige fora på russisk, i diskussioner relateret til darknet, kryptokurver, undgå Roskomnadzor-låse og privatlivsproblemer.
For at distribuere browseren på pastebin.com er der også oprettet mange sider, der er optimeret skal vises øverst på søgemaskiner om emner relateret til forskellige ulovlige operationer, censur, navne på berømte politikere osv.
Sider, der reklamerer for en falsk version af browseren på pastebin.com, er blevet set mere end 500 gange.
Det fiktive sæt var baseret på Tor Browser 7.5 kodebase Og ud over de ondsindede indbyggede funktioner, mindre brugeragent tweaks, deaktivering af digital signaturbekræftelse for plugins og låsning af opdateringsinstallationssystemet, var det identisk med den officielle Tor-browser.
Den ondsindede indsats bestod af at vedhæfte en indholdscontroller til HTTPS-pluginet Overalt almindeligt (tilføjet yderligere script.js script til manifest.json). De resterende ændringer blev foretaget på konfigurationsindstillingsniveauet, og alle binære dele blev gemt i den officielle Tor-browser.
Scriptet indbygget i HTTPS overalt, når hver side blev åbnet, gik til admin-serveren, som returnerede JavaScript-koden, der skulle udføres i sammenhæng med den aktuelle side.
Management-serveren fungerede som en skjult Tor-tjeneste. Gennem udførelse af JavaScript-kode kan angribere organisere aflytning af indholdet af webformularer, erstatning eller skjulning af vilkårlige elementer på siderne, visning af fiktive meddelelser osv.
Men når man analyserer den ondsindede kode, blev kun koden til erstatning for detaljerne i QIWI og Bitcoin-tegnebøger på darknet-betalingssiderne til betaling registreret. I løbet af den ondsindede aktivitet blev der akkumuleret 4.8 Bitcoins i tegnebøgerne for at erstatte dem, hvilket svarer til cirka 40 tusind dollars.