Tor adalah projek yang objektif utamanya adalah pengembangan rangkaian komunikasi yang diedarkan dengan latensi rendah dan ditumpangkan di internet, en tidak mendedahkan identiti penggunanya, iaitu alamat IP mereka tetap tidak dikenali. Di bawah konsep ini, penyemak imbas telah mendapat banyak populariti dan telah digunakan secara meluas di seluruh pelosok dunia, umumnya penggunaannya disebabkan oleh kegiatan haram memandangkan ciri-cirinya yang memungkinkan untuk tidak dikenali.
Walaupun penyemak imbas itu ditawarkan kepada pengguna untuk menawarkan penyemakan imbas yang lebih selamat dan yang paling penting untuk memberikan nama yang tidak dikenali. Penyelidik ESET melancarkan baru-baru ini mereka telah menemui penyebaran versi palsu penyemak imbas Tor oleh orang asing. Sejak penyusunan penyemak imbas dibuat yang diposisikan sebagai penyemak imbas Tor rasmi versi Rusia, sementara penciptanya tidak ada kaitan dengan penyusunan ini.
Penyelidik Malware Utama ESET Anton Cherepanov mengatakan bahawa siasatan telah mengenal pasti tiga dompet bitcoin yang digunakan oleh penggodam sejak tahun 2017.
'Setiap dompet mengandungi sejumlah besar urus niaga kecil; kami menganggap ini sebagai pengesahan bahawa dompet ini telah digunakan oleh penyemak imbas trojanized "
Objektifnya versi Tor yang diubah suai ini adalah untuk menggantikan dompet Bitcoin dan QIWI. Untuk menyesatkan pengguna, pencipta kompilasi mendaftarkan domain tor-browser.org dan torproect.org (berbeza dengan laman rasmi torproJect.org sekiranya tidak ada huruf "J", yang tidak disedari oleh banyak pengguna berbahasa Rusia).
Reka bentuk laman web ini digayakan seperti laman rasmi Tor. Laman pertama menunjukkan halaman peringatan mengenai penggunaan versi penyemak imbas Tor yang usang dan cadangan untuk memasang kemas kini (di mana pautan yang disediakan menawarkan penyusunan dengan perisian Trojan) dan di kedua kandungan mengulang halaman untuk memuat turun Penyemak imbas Tor.
Penting untuk disebutkan bahawa versi jahat Tor dikonfigurasikan untuk Windows sahaja.
Sejak 2017, penyemak imbas Tor jahat telah dipromosikan di pelbagai forum dalam bahasa Rusia, dalam perbincangan yang berkaitan dengan darknet, cryptocurrency, mengelakkan masalah kunci dan privasi Roskomnadzor.
Untuk menyebarkan penyemak imbas di pastebin.com, banyak halaman juga telah dibuat yang dioptimumkan untuk dipaparkan di bahagian atas enjin carian mengenai topik yang berkaitan dengan pelbagai operasi haram, penapisan, nama ahli politik terkenal, dll.
Halaman yang mengiklankan versi penyemak imbas palsu di pastebin.com telah dilihat lebih dari 500 kali.
Set rekaan berdasarkan pangkalan kod Tor Browser 7.5 Dan selain daripada ciri-ciri bawaan yang berbahaya, tweak ejen pengguna kecil, melumpuhkan pengesahan tandatangan digital untuk pemalam, dan mengunci sistem pemasangan kemas kini, ia sama dengan penyemak imbas Tor rasmi.
Sisipan berniat jahat terdiri daripada melampirkan pengawal kandungan ke pemalam HTTPS Di mana sahaja biasa (tambah skrip script.js tambahan ke manifest.json). Perubahan selebihnya dibuat pada tahap tetapan konfigurasi dan semua bahagian binari disimpan dalam penyemak imbas Tor rasmi.
Skrip yang dibina ke HTTPS Di mana sahaja, ketika setiap halaman dibuka, pergi ke pelayan admin, yang mengembalikan kod JavaScript yang harus dijalankan dalam konteks halaman semasa.
Pelayan pengurusan berfungsi sebagai perkhidmatan Tor tersembunyi. Melalui pelaksanaan kod JavaScript, penyerang dapat mengatur pemintasan kandungan borang web, penggantian atau penyembunyian unsur-unsur sewenang-wenangnya di halaman, paparan pesanan palsu, dll.
Walau bagaimanapun, semasa menganalisis kod jahat, hanya kod untuk menggantikan perincian QIWI dan dompet Bitcoin di halaman penerimaan pembayaran darknet yang direkodkan. Semasa melakukan aktiviti berbahaya, 4.8 Bitcoin terkumpul di dompet untuk menggantikannya, yang berjumlah kira-kira 40 ribu dolar.