Tor é um projeto cujo objetivo principal é o desenvolvimento de uma rede de comunicação distribuída com baixa latência e sobreposta na internet, pt não revela a identidade de seus usuários, ou seja, seu endereço IP permanece anônimo. Sob este conceito, o navegador ganhou muita popularidade e passou a ser amplamente utilizado em todas as partes do mundo, geralmente seu uso é atribuído a atividades ilegais devido às suas características de permitir o anonimato.
Embora o navegador seja oferecido aos usuários para oferecer uma navegação mais segura e, acima de tudo, para oferecer o seu anonimato. Pesquisadores da ESET revelaram recentemente eles descobriram a propagação de uma versão falsa do navegador Tor por estranhos. Uma vez que foi feita uma compilação do navegador, ela foi posicionada como a versão oficial russa do navegador Tor, enquanto seus criadores não tiveram nada a ver com essa compilação.
O principal pesquisador de malware da ESET, Anton Cherepanov, disse que a investigação identificou três carteiras bitcoin usadas por hackers desde 2017.
'Cada carteira contém um número relativamente grande de pequenas transações; consideramos isso uma confirmação de que essas carteiras foram usadas pelo navegador Tor trojanizado "
O objetivo desta versão modificada do Tor era substituir carteiras Bitcoin e QIWI. Para enganar os usuários, os criadores da compilação registraram os domínios tor-browser.org e torproect.org (difere do site oficial torproJect.org na ausência da letra "J", que muitos usuários de língua russa passam despercebidos).
O design dos sites foi estilizado como o site oficial do Tor. O primeiro site apresentava uma página de alerta sobre o uso de uma versão desatualizada do navegador Tor e uma proposta de instalação de uma atualização (onde o link fornecido oferece a compilação com o software Trojan) e no segundo o conteúdo repetia a página para baixar o Navegador Tor.
É importante mencionar que a versão maliciosa do Tor foi configurada apenas para Windows.
Desde 2017, o navegador Tor malicioso foi promovido em vários fóruns em russo, em discussões relacionadas a darknet, criptomoedas, evitando bloqueios Roskomnadzor e questões de privacidade.
Para distribuir o navegador em pastebin.com, muitas páginas também foram criadas e otimizadas para ser exibido no topo dos mecanismos de pesquisa sobre tópicos relacionados a várias operações ilegais, censura, nomes de políticos famosos, etc.
As páginas que anunciam uma versão falsa do navegador em pastebin.com foram vistas mais de 500 vezes.
O conjunto fictício foi baseado no código base do navegador Tor 7.5 e além dos recursos internos maliciosos, pequenos ajustes do agente do usuário, desativação da verificação de assinatura digital para plug-ins e bloqueio do sistema de instalação da atualização, era idêntico ao navegador Tor oficial.
A inserção maliciosa consistia em anexar um controlador de conteúdo ao plug-in HTTPS Em todos os lugares regulares (adicionado script script.js adicional ao manifest.json). As alterações restantes foram feitas no nível de definições de configuração e todas as partes binárias foram mantidas no navegador Tor oficial.
O script embutido em HTTPS Everywhere, quando cada página foi aberta, foi para o servidor admin, que retornou o código JavaScript que deve ser executado no contexto da página atual.
O servidor de gerenciamento funcionava como um serviço Tor oculto. Por meio da execução de código JavaScript, os invasores podem organizar a interceptação do conteúdo de formulários da web, a substituição ou ocultação de elementos arbitrários nas páginas, a exibição de mensagens fictícias, etc.
No entanto, ao analisar o código malicioso, apenas o código para substituir os detalhes das carteiras QIWI e Bitcoin nas páginas de aceitação de pagamento darknet foi registrado. No decorrer da atividade maliciosa, 4.8 Bitcoins foram acumulados nas carteiras para substituí-los, o que corresponde a aproximadamente 40 mil dólares.