Tor เป็นโครงการที่มีวัตถุประสงค์หลัก การพัฒนาเครือข่ายการสื่อสารแบบกระจายที่มีเวลาแฝงต่ำและซ้อนทับบนอินเทอร์เน็ต en ไม่เปิดเผยตัวตนของผู้ใช้นั่นคือที่อยู่ IP ของพวกเขายังคงไม่ระบุชื่อ. ภายใต้แนวคิดนี้เบราว์เซอร์ได้รับความนิยมอย่างมากและมีการใช้งานกันอย่างแพร่หลายในทุกส่วนของโลกโดยทั่วไปการใช้งานจะเกิดจากกิจกรรมที่ผิดกฎหมายเนื่องจากมีลักษณะของการอนุญาตให้ไม่เปิดเผยตัวตน
แม้ว่าจะมีการเสนอเบราว์เซอร์ให้กับผู้ใช้เพื่อที่จะนำเสนอการท่องเว็บที่ปลอดภัยยิ่งขึ้นและเหนือสิ่งอื่นใดคือการไม่เปิดเผยตัวตน เปิดตัวนักวิจัยของ ESET เมื่อเร็ว ๆ นี้พวกเขาได้ค้นพบ การแพร่กระจายของเบราว์เซอร์ Tor เวอร์ชันปลอมโดยคนแปลกหน้า เนื่องจากมีการรวบรวมเบราว์เซอร์ที่ถูกจัดวางให้เป็นเบราว์เซอร์ Tor เวอร์ชันรัสเซียอย่างเป็นทางการในขณะที่ผู้สร้างไม่เกี่ยวข้องกับการรวบรวมนี้
Anton Cherepanov นักวิจัยมัลแวร์หลักของ ESET กล่าวว่า การตรวจสอบพบกระเป๋าเงิน bitcoin สามใบที่แฮกเกอร์ใช้ตั้งแต่ปี 2017
'กระเป๋าเงินแต่ละใบมีธุรกรรมขนาดเล็กจำนวนค่อนข้างมาก เราถือว่านี่เป็นการยืนยันว่ากระเป๋าเงินเหล่านี้ถูกใช้โดยเบราว์เซอร์ Tor ที่โทรจัน "
วัตถุประสงค์ ของทอ. รุ่นปรับเปลี่ยนนี้ คือการแทนที่กระเป๋าเงิน Bitcoin และ QIWI. เพื่อทำให้ผู้ใช้เข้าใจผิด ผู้สร้างการรวบรวมได้ลงทะเบียนโดเมน tor-browser.org และ torproect.org (แตกต่างจากเว็บไซต์อย่างเป็นทางการ torproJect.org ที่ไม่มีตัวอักษร "J" ซึ่งผู้ใช้ที่พูดภาษารัสเซียจำนวนมากไม่มีใครสังเกตเห็น)
การออกแบบไซต์ได้รับการปรับสไตล์ให้เป็นไซต์ Tor อย่างเป็นทางการ ไซต์แรกแสดงหน้าคำเตือนเกี่ยวกับการใช้เบราว์เซอร์ Tor เวอร์ชันที่ล้าสมัยและข้อเสนอในการติดตั้งการอัปเดต (โดยที่ลิงก์ที่ให้ไว้จะนำเสนอการคอมไพล์ด้วยซอฟต์แวร์โทรจัน) และในเนื้อหาที่สองซ้ำหน้าเพื่อดาวน์โหลด ทอร์เบราว์เซอร์
สิ่งสำคัญคือต้องพูดถึงเรื่องนั้น Tor เวอร์ชันที่เป็นอันตรายได้รับการกำหนดค่าสำหรับ Windows เท่านั้น
ตั้งแต่ปี 2017 เบราว์เซอร์ Tor ที่เป็นอันตรายได้รับการโปรโมตในฟอรัมต่างๆในภาษารัสเซีย ในการสนทนาที่เกี่ยวข้องกับ darknet, cryptocurrencies การหลีกเลี่ยงการล็อก Roskomnadzor และปัญหาความเป็นส่วนตัว
ในการเผยแพร่เบราว์เซอร์บน pastebin.com มีการสร้างเพจจำนวนมากที่ได้รับการปรับให้เหมาะสม จะปรากฏที่ด้านบนของเครื่องมือค้นหาในหัวข้อที่เกี่ยวข้องกับการดำเนินการที่ผิดกฎหมายการเซ็นเซอร์ชื่อนักการเมืองที่มีชื่อเสียง ฯลฯ
มีการดูหน้าเว็บที่โฆษณาเบราว์เซอร์เวอร์ชันปลอมบน pastebin.com มากกว่า 500 ครั้ง
ชุดสมมติขึ้นอยู่กับฐานรหัส Tor Browser 7.5 และนอกเหนือจากคุณสมบัติในตัวที่เป็นอันตรายการปรับแต่งตัวแทนผู้ใช้เล็กน้อยการปิดใช้งานการตรวจสอบลายเซ็นดิจิทัลสำหรับปลั๊กอินและการล็อกระบบการติดตั้งการอัปเดตยังเหมือนกับเบราว์เซอร์ Tor อย่างเป็นทางการ
ส่วนแทรกที่เป็นอันตรายประกอบด้วยการแนบตัวควบคุมเนื้อหาเข้ากับปลั๊กอิน HTTPS ทุกที่ปกติ (เพิ่มสคริปต์ script.js เพิ่มเติมไปยัง manifest.json) การเปลี่ยนแปลงที่เหลือเกิดขึ้นที่ระดับการตั้งค่าการกำหนดค่าและส่วนไบนารีทั้งหมดจะถูกเก็บไว้ในเบราว์เซอร์ Tor อย่างเป็นทางการ
สคริปต์ที่สร้างไว้ใน HTTPS ทุกที่เมื่อเปิดแต่ละหน้า ไปที่เซิร์ฟเวอร์ผู้ดูแลระบบซึ่งส่งคืนรหัส JavaScript ที่ควรเรียกใช้ ในบริบทของหน้าปัจจุบัน
เซิร์ฟเวอร์การจัดการทำงานเป็นบริการ Tor ที่ซ่อนอยู่ ด้วยการเรียกใช้โค้ด JavaScript ผู้โจมตีสามารถจัดระเบียบการสกัดกั้นเนื้อหาของเว็บฟอร์มการแทนที่หรือซ่อนองค์ประกอบตามอำเภอใจบนหน้าเว็บการแสดงข้อความที่สมมติขึ้นเป็นต้น
อย่างไรก็ตามเมื่อวิเคราะห์โค้ดที่เป็นอันตรายจะมีการบันทึกเฉพาะรหัสที่ใช้แทนรายละเอียดของกระเป๋าเงิน QIWI และ Bitcoin บนหน้าการยอมรับการชำระเงินของ Darknet เท่านั้น ในระหว่างกิจกรรมที่เป็นอันตราย 4.8 Bitcoins ถูกสะสมไว้ในกระเป๋าสตางค์เพื่อแทนที่ซึ่งมีมูลค่าประมาณ 40 ดอลลาร์