Тор је пројекат чији је главни циљ развој дистрибуиране комуникационе мреже са малим кашњењем и суперпониране на Интернету, ен не открива идентитет својих корисника, односно њихова ИП адреса остаје анонимна. Према овом концепту, прегледач је стекао велику популарност и постао је широко коришћен у свим деловима света, углавном се његова употреба приписује нелегалним активностима с обзиром на његове карактеристике омогућавања анонимности.
Иако се прегледач нуди корисницима како би се обезбедило сигурније прегледање и пре свега због његове анонимности. ЕСЕТ истраживачи објавили недавно су открили ширење лажне верзије прегледача Тор од стране непознатих људи. Пошто је направљена компилација прегледача који је позициониран као званична руска верзија претраживача Тор, док његови творци нису имали никакве везе са овом компилацијом.
ЕСЕТ-ов главни истраживач малвера Антон Черепанов је то рекао истрага је идентификовала три биткоин новчаника која су хакери користили од 2017. године.
„Сваки новчаник садржи релативно велики број малих трансакција; сматрамо да је ово потврда да је ове новчанике користио тројанизовани прегледач Тор "
Циљ ове измењене верзије Тор је требало да замени Битцоин и КИВИ новчанике. Да бисте обманули кориснике, творци компилације су регистровали домене тор-бровсер.орг и торпроецт.орг (разликује се од званичне странице торпроЈецт.орг у одсуству слова „Ј“, што многи корисници руског говорног подручја остају непримећени).
Дизајн страница је стилизован као званична Тор локација. На првом месту је приказана страница упозорења о коришћењу застареле верзије прегледача Тор и предлог за инсталирање исправке (где наведена веза нуди компилацију са тројанским софтвером), а на другој је садржај поновио страницу за преузимање Тор претраживач.
Важно је то напоменути злонамерна верзија Тор-а је конфигурисана само за Виндовс.
Од 2017. године злонамерни прегледач Тор се промовише на разним форумима на руском језику, у дискусијама везаним за даркнет, крипто валуте, избегавање закључавања Роскомнадзора и питања приватности.
Да би се претраживач дистрибуирао на пастебин.цом, направљено је и много страница које су оптимизоване бити приказан на врху претраживача о темама везаним за разне илегалне операције, цензуру, имена познатих политичара итд.
Странице које оглашавају лажну верзију прегледача на пастебин.цом прегледане су више од 500 пута.
Фиктивни сет заснован је на основи кода Тор Бровсер 7.5 Поред злонамерних уграђених функција, мањих подешавања корисничког агента, онемогућавања верификације дигиталног потписа за додатке и закључавања система за инсталацију ажурирања, био је идентичан званичном прегледачу Тор.
Злонамерни уметак се састојао од прикључивања контролера садржаја на додатку ХТТПС Свуда редовно (додат додатни сцрипт.јс скрипт у манифест.јсон). Преостале промене су извршене на нивоу подешавања конфигурације и сви бинарни делови су сачувани у званичном прегледачу Тор.
Скрипта уграђена у ХТТПС Свугде, када се отворила свака страница, отишао на админ сервер, који је вратио ЈаваСцрипт код који треба извршити у контексту тренутне странице.
Сервер за управљање радио је као скривени Тор сервис. Извршењем ЈаваСцрипт кода, нападачи могу да организују пресретање садржаја веб образаца, замену или скривање произвољних елемената на страницама, приказивање фиктивних порука итд.
Међутим, приликом анализе злонамерног кода, забележен је само код који замењује детаље КИВИ и Битцоин новчаника на Даркнет страницама за прихватање плаћања. Током злонамерне активности у новчаницима се акумулирало 4.8 биткоина да би их заменили, што одговара приближно 40 хиљада долара.