Tor adalah proyek yang tujuan utamanya adalah pengembangan jaringan komunikasi terdistribusi dengan latensi rendah dan ditumpangkan di internet, en tidak mengungkapkan identitas penggunanya, yaitu, alamat IP mereka tetap anonim. Di bawah konsep ini, browser telah mendapatkan banyak popularitas dan telah digunakan secara luas di semua bagian dunia, umumnya penggunaannya dikaitkan dengan aktivitas ilegal mengingat karakteristiknya yang memungkinkan anonimitas.
Meskipun browser ditawarkan kepada pengguna untuk menawarkan penjelajahan yang lebih aman dan di atas segalanya untuk menawarkan anonimitasnya. Peneliti ESET meluncurkan baru-baru ini mereka temukan penyebaran versi palsu dari browser Tor oleh orang asing. Sejak kompilasi browser dibuat yang diposisikan sebagai versi resmi browser Tor Rusia, sedangkan pembuatnya tidak ada hubungannya dengan kompilasi ini.
Peneliti Malware Utama ESET Anton Cherepanov mengatakan itu investigasi telah mengidentifikasi tiga dompet bitcoin yang digunakan oleh peretas sejak 2017.
'Setiap dompet berisi transaksi kecil dalam jumlah yang relatif besar; kami menganggap ini sebagai konfirmasi bahwa dompet ini digunakan oleh browser Tor yang di-trojan "
Objektif dari versi Tor yang dimodifikasi ini adalah mengganti dompet Bitcoin dan QIWI. Untuk menyesatkan pengguna, pembuat kompilasi mendaftarkan domain tor-browser.org dan torproect.org (berbeda dari situs resmi torproJect.org jika tidak ada huruf "J", yang tidak diperhatikan oleh banyak pengguna berbahasa Rusia).
Desain situs ditata seperti situs resmi Tor. Situs pertama menunjukkan halaman peringatan tentang penggunaan versi lama dari browser Tor dan proposal untuk menginstal pembaruan (di mana tautan yang disediakan menawarkan kompilasi dengan perangkat lunak Trojan) dan di situs kedua konten mengulang halaman untuk mengunduh Browser Tor.
Penting untuk disebutkan itu versi berbahaya dari Tor dikonfigurasikan hanya untuk Windows.
Sejak 2017, peramban Tor berbahaya telah dipromosikan di berbagai forum dalam bahasa Rusia, dalam diskusi terkait darknet, cryptocurrency, menghindari kunci Roskomnadzor dan masalah privasi.
Untuk mendistribusikan browser di pastebin.com, banyak halaman juga telah dibuat yang dioptimalkan untuk ditampilkan di bagian atas mesin pencari pada topik yang berkaitan dengan berbagai operasi ilegal, penyensoran, nama politisi terkenal, dll.
Halaman yang mengiklankan versi palsu browser di pastebin.com telah dilihat lebih dari 500 kali.
Kumpulan fiktif didasarkan pada basis kode Tor Browser 7.5 Dan selain fitur bawaan yang berbahaya, tweak agen pengguna kecil, menonaktifkan verifikasi tanda tangan digital untuk plugin, dan mengunci sistem instalasi pembaruan, itu identik dengan browser Tor resmi.
Sisipan berbahaya terdiri dari melampirkan pengontrol konten ke plugin HTTPS Di mana-mana biasa (menambahkan skrip script.js tambahan ke manifest.json). Perubahan yang tersisa dibuat di tingkat pengaturan konfigurasi dan semua bagian biner disimpan di browser Tor resmi.
Skrip dibuat di HTTPS Everywhere, ketika setiap halaman dibuka, pergi ke server admin, yang mengembalikan kode JavaScript yang harus dijalankan dalam konteks halaman saat ini.
Server manajemen bekerja sebagai layanan Tor tersembunyi. Melalui eksekusi kode JavaScript, penyerang dapat mengatur intersepsi konten formulir web, penggantian atau penyembunyian elemen arbitrer di halaman, tampilan pesan fiktif, dll.
Namun, saat menganalisis kode berbahaya, hanya kode untuk mengganti detail QIWI dan dompet Bitcoin di halaman penerimaan pembayaran darknet yang dicatat. Selama aktivitas berbahaya, 4.8 Bitcoin dikumpulkan di dompet untuk menggantikannya, yang setara dengan sekitar 40 ribu dolar.