Ang Tor ay isang proyekto na ang pangunahing layunin ay ang pagbuo ng isang ipinamamahagi na network ng komunikasyon na may mababang latency at superimposed sa internet, tl ay hindi isiwalat ang pagkakakilanlan ng mga gumagamit nito, iyon ay, ang kanilang IP address ay mananatiling hindi nagpapakilala. Sa ilalim ng konseptong ito, ang browser ay nakakuha ng labis na katanyagan at naging malawak na ginamit sa lahat ng bahagi ng mundo, sa pangkalahatan ang paggamit nito ay maiugnay sa mga iligal na aktibidad na binigyan ng mga katangian nito na pinapayagan ang pagkawala ng lagda.
Bagaman inaalok ang browser sa mga gumagamit upang mag-alok ng mas ligtas na pag-browse at higit sa lahat upang maalok ang pagkawala ng lagda nito. Inilahad ng mga mananaliksik ng ESET kamakailan lamang ay natuklasan nila ang pagkalat ng isang pekeng bersyon ng Tor browser ng mga hindi kilalang tao. Dahil ang isang pagsasama-sama ng browser ay ginawa na nakaposisyon bilang opisyal na bersyon ng Russia ng Tor browser, habang ang mga tagalikha nito ay walang kinalaman sa pagsasama-sama na ito.
Sinabi ng Principal Malware Researcher ng ESET na si Anton Cherepanov ang pagsisiyasat ay nakilala ang tatlong bitcoin wallet na ginamit ng mga hacker mula pa noong 2017.
'Ang bawat pitaka ay naglalaman ng isang medyo malaking bilang ng mga maliliit na transaksyon; isaalang-alang namin ito bilang isang kumpirmasyon na ang mga wallet na ito ay ginamit ng trojanized Tor browser "
Ang layunin ng binagong bersyon ng Tor ay upang palitan ang mga wallet ng Bitcoin at QIWI. Upang linlangin ang mga gumagamit, ang mga tagalikha ng compilation ay nakarehistro sa mga domain tor-browser.org at torproect.org (naiiba mula sa opisyal na site torproJect.org sa kawalan ng titik na "J", na hindi napapansin ng maraming gumagamit na nagsasalita ng Russia).
Ang disenyo ng mga site ay inilarawan sa istilo bilang opisyal na Tor site. Nagpakita ang unang site ng isang pahina ng babala tungkol sa paggamit ng isang hindi napapanahong bersyon ng Tor browser at isang panukala na mag-install ng isang pag-update (kung saan ang ibinigay na link ay nag-aalok ng pagsasama-sama sa Trojan software) at sa pangalawa ang nilalaman ay inulit ang pahina upang i-download ang Tor browser.
Mahalagang banggitin iyon ang nakakahamak na bersyon ng Tor ay na-configure para sa Windows lamang.
Mula noong 2017, ang nakakahamak na Tor browser ay na-promosyon sa iba't ibang mga forum sa Russian, sa mga talakayan na nauugnay sa darknet, cryptocurrency, pag-iwas sa mga Roskomnadzor lock at isyu sa privacy.
Upang ipamahagi ang browser sa pastebin.com, maraming mga pahina ang nilikha na na-optimize upang maipakita sa tuktok ng mga search engine sa mga paksang nauugnay sa iba`t ibang iligal na operasyon, censorship, mga pangalan ng mga sikat na pulitiko, atbp.
Ang mga pahinang nag-a-advertise ng pekeng bersyon ng browser sa pastebin.com ay tiningnan nang higit sa 500 beses.
Ang kathang-isip na hanay ay batay sa base ng Tor Browser 7.5 code at bilang karagdagan sa nakakahamak na built-in na mga tampok, ang menor de edad na pag-aayos ng ahente ng gumagamit, hindi pagpapagana ng pag-verify ng digital na lagda para sa mga plugin, at pag-lock ng sistema ng pag-install ng pag-update, magkapareho ito sa opisyal na Tor browser.
Ang nakakahamak na insert ay binubuo ng paglakip ng isang content controller sa HTTPS plugin Kahit saan regular (nagdagdag ng karagdagang script.js script upang maipakita. Json). Ang natitirang mga pagbabago ay ginawa sa antas ng mga setting ng pagsasaayos at lahat ng mga bahagi ng binary ay itinatago sa opisyal na Tor browser.
Ang script na binuo sa HTTPS Kahit saan, kapag binuksan ang bawat pahina, nagpunta sa admin server, na nagbalik ng JavaScript code na dapat na ipatupad sa konteksto ng kasalukuyang pahina.
Nagtrabaho ang server ng pamamahala bilang isang nakatagong serbisyo ng Tor. Sa pamamagitan ng pagpapatupad ng JavaScript code, maaaring ayusin ng mga umaatake ang pagharang ng mga nilalaman ng mga form sa web, ang pagpapalit o pagtatago ng di-makatwirang mga elemento sa mga pahina, ang pagpapakita ng mga hindi kathang-isip na mensahe, atbp.
Gayunpaman, kapag pinag-aaralan ang nakakahamak na code, ang code lamang upang mapalitan ang mga detalye ng mga wallet ng QIWI at Bitcoin sa mga pahina ng pagtanggap ng pagbabayad ng darknet ang naitala. Sa kurso ng nakakahamak na aktibidad, 4.8 Bitcoins ay naipon sa mga pitaka upang mapalitan ang mga ito, na tumutugma sa humigit-kumulang na 40 libong dolyar.