Tor je projekt, katerega glavni cilj je razvoj porazdeljenega komunikacijskega omrežja z nizko zakasnitvijo in nadgrajenega na internetu, sl ne razkrije identitete svojih uporabnikov, to pomeni, da je njihov naslov IP anonimen. V skladu s tem konceptom je brskalnik pridobil veliko popularnost in se je široko uporabljal v vseh delih sveta, na splošno pa se njegova uporaba pripisuje nezakonitim dejavnostim, saj je zaradi njegovih lastnosti dovoljeno anonimnost.
Čeprav je brskalnik na voljo uporabnikom z namenom varnejšega brskanja in predvsem anonimnosti. Predstavljeni raziskovalci ESET pred kratkim so odkrili širjenje lažne različice brskalnika Tor s strani neznancev. Ker je bila narejena zbirka brskalnika, ki je bila umeščena kot uradna ruska različica brskalnika Tor, medtem ko njegovi ustvarjalci s to kompilacijo niso imeli nič skupnega.
Glavni ESET-ov raziskovalec zlonamerne programske opreme Anton Cherepanov je to povedal preiskava je odkrila tri bitcoin denarnice, ki jih hekerji uporabljajo od leta 2017.
„Vsaka denarnica vsebuje relativno veliko majhnih transakcij; menimo, da je to potrditev, da je te denarnice uporabljal trojanizirani brskalnik Tor "
Cilj te spremenjene različice Tor je bila zamenjava denarnic Bitcoin in QIWI. Za zavajanje uporabnikov ustvarjalci kompilacije so registrirali domeni tor-browser.org in torproect.org (razlikuje se od uradne strani torproJect.org, ker ni črke "J", ki jo mnogi rusko govoreči uporabniki ostanejo neopaženi).
Zasnova spletnih mest je bila stilizirana kot uradna stran Tor. Na prvem spletnem mestu je bila prikazana opozorilna stran o uporabi zastarele različice brskalnika Tor in predlog za namestitev posodobitve (kjer navedena povezava ponuja kompilacijo s trojansko programsko opremo), na drugi pa je vsebina ponovila stran za prenos Tor brskalnik.
Pomembno je omeniti to zlonamerna različica Tor je bila konfigurirana samo za Windows.
Od leta 2017 zlonamerni brskalnik Tor promovirajo na različnih forumih v ruščini, v razpravah, povezanih z darknetom, kriptovalutami, izogibanjem ključavnicam Roskomnadzor in vprašanjem zasebnosti.
Za distribucijo brskalnika na pastebin.com je bilo ustvarjenih tudi veliko strani, ki so optimizirane biti prikazan na vrhu iskalnikov o temah, povezanih z različnimi nezakonitimi operacijami, cenzuro, imeni znanih politikov itd.
Strani, ki oglašujejo ponarejeno različico brskalnika na spletnem mestu pastebin.com, so si ogledale več kot 500 krat.
Fiktivni komplet je temeljil na osnovi kode Tor Browser 7.5 Poleg zlonamernih vgrajenih funkcij, manjših popravkov uporabniškega agenta, onemogočanja preverjanja digitalnega podpisa za vtičnike in zaklepanja sistema za namestitev posodobitev je bil enak uradnemu brskalniku Tor.
Zlonamerni vložek je bil sestavljen iz pritrditve krmilnika vsebine na vtičnik HTTPS Povsod redno (dodan dodaten skript script.js v manifest.json). Preostale spremembe so bile narejene na ravni nastavitev konfiguracije in vsi binarni deli so bili shranjeni v uradnem brskalniku Tor.
Skript, vgrajen v HTTPS povsod, ko se je odprla vsaka stran, odšel na skrbniški strežnik, ki je vrnil kodo JavaScript, ki jo je treba izvršiti v kontekstu trenutne strani.
Strežnik za upravljanje je deloval kot skrita storitev Tor. Z izvajanjem kode JavaScript lahko napadalci organizirajo prestrezanje vsebine spletnih obrazcev, zamenjavo ali skrivanje poljubnih elementov na straneh, prikaz navideznih sporočil itd.
Vendar pa je bila pri analizi zlonamerne kode zabeležena le koda, ki je nadomestila podrobnosti o denarnicah QIWI in Bitcoin na straneh za sprejem plačil darknet. Med zlonamerno dejavnostjo se je v denarnicah nabralo 4.8 bitcoinov, ki so jih nadomestili, kar ustreza približno 40 tisoč dolarjem.