Naukowcy z ESET
Aby wprowadzić użytkowników w błąd, twórcy zestawu zarejestrowali domeny tor-browser.org i torproect.org (inne niż oficjalna strona torproJect.org poprzez brak litery „J”, która dla wielu rosyjskojęzycznych użytkowników pozostaje niezauważona). Wygląd stron został stylizowany na oficjalną stronę Tora. Pierwsza witryna wyświetlała stronę z ostrzeżeniem o korzystaniu z przestarzałej wersji przeglądarki Tor i propozycją zainstalowania aktualizacji (link prowadził do zestawu z oprogramowaniem trojańskim), a na drugiej treść była taka sama jak strona do pobrania Przeglądarka Tor. Szkodliwy zestaw został stworzony wyłącznie dla systemu Windows.
Od 2017 roku trojan Tor Browser jest promowany na różnych rosyjskojęzycznych forach, w dyskusjach związanych z darknetem, kryptowalutami, omijaniem blokady Roskomnadzor i kwestiami prywatności. Aby rozpowszechniać przeglądarkę, pastebin.com stworzyło również wiele stron zoptymalizowanych tak, aby pojawiały się w najlepszych wyszukiwarkach na tematy związane z różnymi nielegalnymi operacjami, cenzurą, nazwiskami znanych polityków itp.
Strony reklamujące fikcyjną wersję przeglądarki w serwisie pastebin.com wyświetlono ponad 500 tysięcy razy.
Fikcyjna kompilacja została oparta na kodzie przeglądarki Tor Browser 7.5 i poza wbudowanymi złośliwymi funkcjami, drobnymi zmianami w User-Agent, wyłączeniem weryfikacji podpisu cyfrowego dla dodatków i zablokowaniem systemu instalacji aktualizacji, była identyczna z oficjalną wersją Przeglądarka Tor. Złośliwe wstawienie polegało na dołączeniu modułu obsługi treści do standardowego dodatku HTTPS Everywhere (do manifest.json dodano dodatkowy skrypt script.js). Pozostałe zmiany zostały wprowadzone na poziomie dostosowania ustawień, a wszystkie części binarne pozostały z oficjalnej przeglądarki Tor.
Skrypt zintegrowany z HTTPS Everywhere podczas otwierania każdej strony kontaktował się z serwerem sterującym, który zwracał kod JavaScript, który powinien zostać wykonany w kontekście bieżącej strony. Serwer kontrolny działał jako ukryta usługa Tor. Wykonując kod JavaScript, napastnicy mogą przechwycić zawartość formularzy internetowych, zastąpić lub ukryć dowolne elementy na stronach, wyświetlić fikcyjne wiadomości itp. Jednak podczas analizy złośliwego kodu zarejestrowano jedynie kod służący do podstawiania szczegółów QIWI i portfeli Bitcoin na stronach przyjmowania płatności w darknecie. Podczas szkodliwej aktywności w portfelach używanych do podmiany zgromadzono 4.8 Bitcoinów, co odpowiada kwocie około 40 tysięcy dolarów.
Źródło: opennet.ru