Tor është një projekt qëllimi kryesor i të cilit është zhvillimin e një rrjeti të shpërndarë komunikimi me vonesë të ulët dhe të mbivendosur në internet, en nuk zbulon identitetin e përdoruesve të saj, domethënë, adresa e tyre IP mbetet anonime. Sipas këtij koncepti, shfletuesi ka fituar shumë popullaritet dhe është përdorur gjerësisht në të gjitha pjesët e botës, zakonisht përdorimi i tij i atribuohet aktiviteteve të paligjshme duke pasur parasysh karakteristikat e tij të lejimit të anonimitetit.
Megjithëse shfletuesi u ofrohet përdoruesve në mënyrë që të ofrojë një shfletim më të sigurt dhe mbi të gjitha për të ofruar anonimitetin e tij. Studiuesit e ESET zbuluan kohët e fundit ata kanë zbuluar përhapja e një versioni të rremë të shfletuesit Tor nga të huajt. Meqenëse u bë një përpilim i shfletuesit që ishte pozicionuar si versioni zyrtar rus i shfletuesit Tor, ndërsa krijuesit e tij nuk kishin asnjë lidhje me këtë përpilim.
Studiuesi Kryesor i Malware-it i ESET Anton Cherepanov tha që hetimi kishte identifikuar tre kuleta bitcoin të përdorura nga hakerat që nga viti 2017.
'Secili portofol përmban një numër relativisht të madh të transaksioneve të vogla; ne e konsiderojmë këtë si një konfirmim se këto kuleta janë përdorur nga shfletuesi i trojanizuar Tor "
Objektivi të këtij versioni të modifikuar të Tor ishte për të zëvendësuar kuletat Bitcoin dhe QIWI. Për të mashtruar përdoruesit, krijuesit e përpilimit regjistruan domenet tor-browser.org dhe torproect.org (ndryshon nga faqja zyrtare torproJect.org në mungesë të shkronjës "J", të cilën shumë përdorues rusishtfolës kalojnë pa u vërejtur).
Dizajni i faqeve u modelua si faqja zyrtare e Tor. Faqja e parë tregoi një faqe paralajmëruese për përdorimin e një versioni të vjetëruar të shfletuesit Tor dhe një propozim për të instaluar një azhurnim (ku lidhja e ofruar ofron përpilimin me softuerin Trojan) dhe në të dytën përmbajtja përsëriti faqen për të shkarkuar Shfletuesi Tor.
Importantshtë e rëndësishme të përmendet se versioni me qëllim të keq i Tor u konfigurua vetëm për Windows.
Që nga viti 2017, shfletuesi me qëllim të keq Tor është promovuar në forume të ndryshme në rusisht, në diskutimet në lidhje me darknet, kriptovalutat, duke shmangur bravat e Roskomnadzor dhe çështjet e privatësisë.
Për të shpërndarë shfletuesin në pastebin.com, janë krijuar gjithashtu shumë faqe që janë të optimizuara të shfaqet në krye të motorëve të kërkimit për tema që lidhen me operacione të ndryshme ilegale, censurë, emra politikanësh të famshëm, etj.
Faqet që reklamojnë një version të rremë të shfletuesit në pastebin.com janë parë më shumë se 500 herë.
Seti fiktiv ishte bazuar në bazën e kodit Tor Browser 7.5 Dhe përveç veçorive të integruara me qëllim të keq, ndryshimet e vogla të agjentit të përdoruesit, çaktivizimi i verifikimit të nënshkrimit dixhital për shtojcat dhe bllokimi i sistemit të instalimit të azhurnimit, ai ishte identik me shfletuesin zyrtar Tor.
Futja keqdashëse konsistonte në bashkangjitjen e një kontrolluesi të përmbajtjes në shtojcën HTTPS Kudo rregullt (shtohet skript shtesë. Js për të shfaqur.json). Ndryshimet e mbetura u bënë në nivelin e cilësimeve të konfigurimit dhe të gjitha pjesët binare u mbajtën në shfletuesin zyrtar Tor.
Skenari i integruar në HTTPS Kudo, kur çdo faqe u hap, shkoi në serverin admin, i cili ktheu kodin JavaScript që duhet ekzekutuar në kontekstin e faqes aktuale.
Serveri i menaxhimit ka punuar si një shërbim i fshehur Tor. Përmes ekzekutimit të kodit JavaScript, sulmuesit mund të organizojnë përgjimin e përmbajtjes së formave të internetit, zëvendësimin ose fshehjen e elementeve arbitrare në faqe, shfaqjen e mesazheve fiktive, etj.
Sidoqoftë, kur u analizua kodi me qëllim të keq, u regjistrua vetëm kodi për të zëvendësuar detajet e kuletave QIWI dhe Bitcoin në faqet e pranimit të pagesës darknet. Gjatë aktivitetit dashakeq, 4.8 Bitcoins u grumbulluan në kuleta për t'i zëvendësuar ato, që korrespondon me afërsisht 40 mijë dollarë.