محققان ESET توزیع یک ساخت مرورگر Tor مخرب توسط مهاجمان ناشناس. این اسمبلی به عنوان نسخه رسمی روسی مرورگر Tor معرفی شد، در حالی که سازندگان آن هیچ ارتباطی با پروژه Tor ندارند و هدف از ایجاد آن جایگزینی کیف پول بیت کوین و QIWI بود.
برای گمراه کردن کاربران، سازندگان اسمبلی دامنه های tor-browser.org و torproect.org (متفاوت از وب سایت رسمی torpro) را ثبت کردند.Ject.org با عدم وجود حرف "J" که توسط بسیاری از کاربران روسی زبان مورد توجه قرار نمی گیرد). طراحی سایت ها به گونه ای طراحی شده است که شبیه وب سایت رسمی Tor باشد. سایت اول صفحه ای را با اخطار در مورد استفاده از نسخه قدیمی مرورگر Tor و پیشنهاد نصب آپدیت نمایش داد (لینک منجر به اسمبلی با نرم افزار تروجان شد) و در سایت دوم محتوای همان صفحه برای دانلود بود. مرورگر Tor. اسمبلی مخرب فقط برای ویندوز ایجاد شده است.
از سال 2017، مرورگر Trojan Tor در انجمنهای مختلف روسی زبان، در بحثهای مربوط به تاریکنت، ارزهای دیجیتال، دور زدن مسدود کردن Roskomnadzor و مسائل مربوط به حریم خصوصی، تبلیغ شده است. برای توزیع مرورگر، pastebin.com همچنین صفحات زیادی را ایجاد کرد که در موتورهای جستجوی برتر در مورد موضوعات مرتبط با عملیات غیرقانونی مختلف، سانسور، نام سیاستمداران مشهور و غیره ظاهر شوند.
صفحات تبلیغ نسخه ساختگی مرورگر در pastebin.com بیش از 500 هزار بار مشاهده شد.
ساخت ساختگی مبتنی بر پایگاه کد مرورگر Tor 7.5 بود و به غیر از توابع مخرب داخلی، تنظیمات جزئی در User-Agent، غیرفعال کردن تأیید امضای دیجیتال برای افزونهها و مسدود کردن سیستم نصب بهروزرسانی، مشابه نسخه رسمی بود. مرورگر Tor. درج مخرب شامل پیوست کردن یک کنترل کننده محتوا به افزونه استاندارد HTTPS Everywhere بود (یک اسکریپت script.js اضافی به manifest.json اضافه شد). تغییرات باقی مانده در سطح تنظیم تنظیمات انجام شد و تمام قسمت های باینری از مرورگر رسمی Tor باقی ماندند.
اسکریپت ادغام شده در HTTPS Everywhere، هنگام باز کردن هر صفحه، با سرور کنترل تماس گرفت، که کد جاوا اسکریپت را که باید در متن صفحه فعلی اجرا شود، برگرداند. سرور کنترل به عنوان یک سرویس Tor مخفی عمل می کرد. با اجرای کد جاوا اسکریپت، مهاجمان می توانند محتوای فرم های وب را رهگیری کنند، عناصر دلخواه را در صفحات جایگزین یا پنهان کنند، پیام های ساختگی و غیره را نمایش دهند. با این حال، هنگام تجزیه و تحلیل کد مخرب، تنها کد جایگزینی جزئیات QIWI و کیف پول بیت کوین در صفحات پذیرش پرداخت در دارک نت ثبت شد. در طول این فعالیت مخرب، 4.8 بیت کوین در کیف پول های مورد استفاده برای جایگزینی جمع شد که تقریباً معادل 40 هزار دلار است.
منبع: opennet.ru