Истраживачи из ЕСЕТ-а дистрибуција злонамерног Тор претраживача који су направили непознати нападачи. Склоп је позициониран као званична руска верзија Тор претраживача, док његови креатори немају никакве везе са Тор пројектом, а сврха његовог креирања је била да замени Битцоин и КИВИ новчанике.
Да би обманули кориснике, креатори скупа су регистровали домене тор-бровсер.орг и торпроецт.орг (различито од званичног сајта торпроJецт.орг због одсуства слова „Ј“, што је непримећено од стране многих корисника који говоре руски). Дизајн сајтова је стилизован тако да личи на званичну Тор веб локацију. Први сајт је приказао страницу са упозорењем о коришћењу застареле верзије претраживача Тор и предлогом за инсталирање ажурирања (линк је водио до склопа са тројанским софтвером), а на другом је садржај био исти као страница за преузимање Тор Бровсер. Злонамерни склоп је креиран само за Виндовс.
Од 2017. године, претраживач Тројан Тор је промовисан на разним форумима на руском језику, у дискусијама везаним за даркнет, криптовалуте, заобилазећи блокирање Роскомнадзора и питања приватности. За дистрибуцију претраживача, пастебин.цом је такође направио много страница оптимизованих да се појављују у врхунским претраживачима о темама које се односе на разне илегалне операције, цензуру, имена познатих политичара итд.
Странице које рекламирају фиктивну верзију претраживача на пастебин.цом су прегледане више од 500 хиљада пута.
Фиктивна верзија била је заснована на кодној бази Тор Бровсер 7.5 и, осим уграђених злонамерних функција, мањих подешавања корисничког агента, онемогућавања верификације дигиталног потписа за додатке и блокирања система за инсталацију ажурирања, била је идентична званичној. Тор Бровсер. Злонамерно уметање се састојало од причвршћивања руковаоца садржаја стандардном додатку ХТТПС Еверивхере (додатна сцрипт.јс скрипта је додата манифест.јсон). Преостале промене су направљене на нивоу подешавања подешавања, а сви бинарни делови су остали из званичног Тор претраживача.
Скрипта интегрисана у ХТТПС Еверивхере, приликом отварања сваке странице, контактирала је контролни сервер, који је вратио ЈаваСцрипт код који би требало да се изврши у контексту тренутне странице. Контролни сервер је функционисао као скривени Тор сервис. Извршавањем ЈаваСцрипт кода, нападачи могу пресрести садржај веб образаца, заменити или сакрити произвољне елементе на страницама, приказати фиктивне поруке итд. Међутим, приликом анализе злонамерног кода забележен је само код за замену КИВИ детаља и Битцоин новчаника на страницама за прихватање плаћања на даркнету. Током злонамерне активности, на новчаницима који се користе за лажирање накупљено је 4.8 биткоина, што одговара приближно 40 хиљада долара.
Извор: опеннет.ру