Studiuesit nga ESET
Për të mashtruar përdoruesit, krijuesit e asamblesë regjistruan domenet tor-browser.org dhe torproect.org (ndryshe nga faqja zyrtare e torproJect.org nga mungesa e shkronjës "J", e cila kalon pa u vënë re nga shumë përdorues rusishtfolës). Dizajni i faqeve u stilizua që t'i ngjante faqes zyrtare të Tor. Faqja e parë shfaqi një faqe me një paralajmërim për përdorimin e një versioni të vjetëruar të shfletuesit Tor dhe një propozim për të instaluar një përditësim (lidhja çoi në një asamble me softuerin Trojan), dhe në të dytin përmbajtja ishte e njëjtë me faqen për shkarkim Shfletuesi Tor. Asambleja me qëllim të keq u krijua vetëm për Windows.
Që nga viti 2017, Trojan Tor Browser është promovuar në forume të ndryshme në gjuhën ruse, në diskutime në lidhje me rrjetin e errët, kriptovalutat, duke anashkaluar bllokimin e Roskomnadzor dhe çështjet e privatësisë. Për të shpërndarë shfletuesin, pastebin.com krijoi gjithashtu shumë faqe të optimizuara për t'u shfaqur në motorët më të mirë të kërkimit për tema që lidhen me operacione të ndryshme të paligjshme, censurë, emra politikanësh të famshëm etj.
Faqet që reklamojnë një version fiktiv të shfletuesit në pastebin.com janë parë më shumë se 500 mijë herë.
Ndërtimi fiktive u bazua në bazën e kodeve Tor Browser 7.5 dhe, përveç funksioneve me qëllim të keq të integruar, rregullimeve të vogla në Agjentin e Përdoruesit, çaktivizimit të verifikimit të nënshkrimit dixhital për shtesat dhe bllokimit të sistemit të instalimit të përditësimeve, ishte identik me atë zyrtar. Shfletuesi Tor. Futja me qëllim të keq konsistonte në bashkëngjitjen e një mbajtësi të përmbajtjes në shtesën standarde HTTPS Everywhere (një skrip shtesë script.js iu shtua manifest.json). Ndryshimet e mbetura u bënë në nivelin e rregullimit të cilësimeve, dhe të gjitha pjesët binare mbetën nga Shfletuesi zyrtar Tor.
Skripti i integruar në HTTPS Everywhere, kur hapej çdo faqe, kontaktoi serverin e kontrollit, i cili ktheu kodin JavaScript që duhet të ekzekutohej në kontekstin e faqes aktuale. Serveri i kontrollit funksiononte si një shërbim i fshehur Tor. Duke ekzekutuar kodin JavaScript, sulmuesit mund të përgjojnë përmbajtjen e formave të internetit, të zëvendësojnë ose fshehin elemente arbitrare në faqe, të shfaqin mesazhe fiktive, etj. Megjithatë, gjatë analizimit të kodit me qëllim të keq, u regjistrua vetëm kodi për zëvendësimin e detajeve QIWI dhe kuletave Bitcoin në faqet e pranimit të pagesave në rrjetin e errët. Gjatë aktivitetit keqdashës, në kuletat e përdorura për zëvendësim u grumbulluan 4.8 Bitcoin, që korrespondon me afërsisht 40 mijë dollarë.
Burimi: opennet.ru