Το Tor είναι ένα έργο του οποίου ο κύριος στόχος είναι την ανάπτυξη ενός κατανεμημένου δικτύου επικοινωνιών χαμηλής καθυστέρησης που υπερτίθεται στο διαδίκτυο, el δεν αποκαλύπτει την ταυτότητα των χρηστών του, δηλαδή η διεύθυνση IP τους διατηρείται ανώνυμη. Σύμφωνα με αυτήν την ιδέα, το πρόγραμμα περιήγησης έχει αποκτήσει μεγάλη δημοτικότητα και έχει γίνει ευρέως χρησιμοποιούμενο σε όλα τα μέρη του κόσμου, η χρήση του γενικά αποδίδεται σε παράνομες δραστηριότητες, δεδομένων των χαρακτηριστικών του να επιτρέπει την ανωνυμία.
Αν και το πρόγραμμα περιήγησης προσφέρεται στους χρήστες για να προσφέρει ασφαλέστερη περιήγηση και πάνω από όλα να προσφέρει την ανωνυμία του. Οι ερευνητές της ESET δημοσίευσαν πρόσφατα ανακάλυψαν η διάδοση μιας ψεύτικης έκδοσης του προγράμματος περιήγησης Tor από άγνωστα μέρη. Δεδομένου ότι δημιουργήθηκε μια κατασκευή του προγράμματος περιήγησης που τοποθετήθηκε ως η επίσημη ρωσική έκδοση του προγράμματος περιήγησης Tor, ενώ οι δημιουργοί του δεν είχαν καμία σχέση με αυτήν την κατασκευή.
Ο κύριος ερευνητής κακόβουλου λογισμικού της ESET Anton Cherepanov είπε ότι η έρευνα είχε εντοπίσει τρία πορτοφόλια bitcoin που χρησιμοποιούνταν από χάκερ από το 2017.
«Κάθε πορτοφόλι περιέχει έναν σχετικά μεγάλο αριθμό μικρών συναλλαγών. Θεωρούμε ότι αυτό είναι επιβεβαίωση ότι αυτά τα πορτοφόλια χρησιμοποιήθηκαν από τον Trojanized Tor Browser”
Ο σκοπός αυτής της τροποποιημένης έκδοσης του Tor ήταν να αντικαταστήσει τα πορτοφόλια Bitcoin και QIWI. Για να εξαπατήσει τους χρήστες, οι δημιουργοί του build κατοχύρωσαν τους τομείς tor-browser.org και torproect.org (διαφέρει από τον επίσημο ιστότοπο torproJect.org απουσία του γράμματος "J", το οποίο χάνουν πολλοί ρωσόφωνοι χρήστες).
Ο σχεδιασμός των τοποθεσιών διαμορφώθηκε ως ο επίσημος ιστότοπος Tor. Ο πρώτος ιστότοπος εμφάνιζε μια σελίδα προειδοποίησης σχετικά με τη χρήση μιας παλιάς έκδοσης του προγράμματος περιήγησης Tor και μια πρόταση εγκατάστασης μιας ενημέρωσης (όπου ο παρεχόμενος σύνδεσμος προσφέρει συλλογή με λογισμικό Trojan) και στη δεύτερη το περιεχόμενο επαναλάμβανε τη σελίδα λήψης. Tor Browser.
Είναι σημαντικό να το αναφέρω αυτό η κακόβουλη έκδοση του Tor διαμορφώθηκε μόνο για Windows.
Από το 2017, το κακόβουλο πρόγραμμα περιήγησης Tor έχει προωθηθεί σε διάφορα φόρουμ στα ρωσικά, σε συζητήσεις που σχετίζονται με το darknet, τα κρυπτονομίσματα, την παράκαμψη των μπλοκ Roskomnadzor και ζητήματα απορρήτου.
Για τη διανομή του προγράμματος περιήγησης στο pastebin.com, έχουν δημιουργηθεί επίσης πολλές σελίδες οι οποίες είναι βελτιστοποιημένες να εμφανίζεται στην κορυφή των μηχανών αναζήτησης για θέματα που σχετίζονται με διάφορες παράνομες επιχειρήσεις, λογοκρισία, ονόματα διάσημων πολιτικών κ.λπ.
Οι σελίδες που διαφημίζουν μια ψεύτικη έκδοση του προγράμματος περιήγησης στο pastebin.com έχουν προβληθεί περισσότερες από 500 φορές.
Το εικονικό σύνολο βασίστηκε στη βάση κώδικα Tor Browser 7.5 και εκτός από τις ενσωματωμένες κακόβουλες λειτουργίες, τις μικρές τροποποιήσεις παράγοντα χρήστη, την απενεργοποίηση της επαλήθευσης ψηφιακής υπογραφής για πρόσθετα και τον αποκλεισμό του συστήματος από την εγκατάσταση ενημερώσεων, ήταν πανομοιότυπο με το επίσημο πρόγραμμα περιήγησης Tor.
Η κακόβουλη ενσωμάτωση συνίστατο στην προσάρτηση ενός προγράμματος χειρισμού περιεχομένου στην προσθήκη HTTPS Παντού κανονικό (προστέθηκε ένα επιπλέον σενάριο script.js στο manifest.json). Οι υπόλοιπες αλλαγές έγιναν στο επίπεδο ρυθμίσεων διαμόρφωσης και όλα τα δυαδικά μέρη διατηρήθηκαν στο επίσημο πρόγραμμα περιήγησης Tor.
Το σενάριο ενσωματωμένο στο HTTPS Everywhere, όταν άνοιγε κάθε σελίδα, πήγε στον διακομιστή διαχείρισης, ο οποίος επέστρεψε τον κώδικα JavaScript που έπρεπε να εκτελεστεί στο πλαίσιο της τρέχουσας σελίδας.
Ο διακομιστής διαχείρισης λειτουργούσε ως κρυφή υπηρεσία Tor. Μέσω της εκτέλεσης κώδικα JavaScript, οι εισβολείς μπορούν να οργανώσουν την υποκλοπή των περιεχομένων των φορμών Ιστού, την αντικατάσταση ή την απόκρυψη αυθαίρετων στοιχείων σε σελίδες, την εμφάνιση εικονικών μηνυμάτων κ.λπ.
Ωστόσο, κατά την ανάλυση του κακόβουλου κώδικα, καταγράφηκε μόνο ο κωδικός για την αντικατάσταση των στοιχείων των πορτοφολιών QIWI και Bitcoin σε σελίδες αποδοχής πληρωμών darknet. Κατά τη διάρκεια της κακόβουλης δραστηριότητας, συσσωρεύτηκαν 4.8 Bitcoins στα πορτοφόλια για την αντικατάστασή τους, που αντιστοιχεί σε περίπου 40 χιλιάδες δολάρια.