Дослідники з компанії ESET поширення невідомими зловмисниками шкідливого складання Tor Browser. Складання позиціонувалася як офіційна російська версія Tor Browser, тоді як до проекту Tor її автори не мають жодного відношення, а метою створення була заміна гаманців Bitcoin і QIWI.
Для введення користувачів в оману творці збірки зареєстрували домени tor-browser.org та torproect.org (відмінна від офіційного сайту torproJect.org відсутністю літери «J», що багатьма російськомовними користувачами залишається непоміченою). Оформлення сайтів було стилізоване під офіційний сайт Tor. На першому сайті виводилася сторінка із попередженням про використання застарілої версії Tor Browser та пропозицією встановити оновлення (посилання вела на збірку з троянським ПЗ), а на другому вміст повторював сторінку для завантаження Tor Browser. Шкідливе складання було сформовано лише для Windows.
Троянський Tor Browser з 2017 року просувався на різних російськомовних форумах, в обговореннях пов'язаних з даркнетом, криптовалютами, обходом блокувань Роскомнагляду та питаннями забезпечення конфіденційності. Для поширення браузера на pastebin.com також було створено безліч сторінок, оптимізованих для виведення в топі пошукових систем на теми, пов'язані з різними незаконними операціями, цензурою, іменами відомих політиків тощо.
Сторінки з рекламою фіктивною версією браузера на pastebin.com було переглянуто понад 500 тисяч разів.
Фіктивне складання було засноване на кодовій базі Tor Browser 7.5 і крім вбудованих шкідливих функцій, невеликого коригування User-Agent, відключення перевірки цифрових підписів для доповнень та блокування системи встановлення оновлень була ідентична офіційному Tor Browser. Шкідлива вставка зводилася до прикріплення обробника контенту до штатного доповнення HTTPS Everywhere (в manifest.json був доданий додатковий скрипт script.js). Інші зміни були зроблені на рівні коригування налаштувань, а всі бінарні частини залишалися від офіційного Tor Browser.
Інтегрований у HTTPS Everywhere скрипт при відкритті кожної сторінки звертався до керуючого сервера, який повертав JavaScript-код, який слід виконати в контексті поточної сторінки. Керуючий сервер функціонував як прихований Сервіс Tor. Через виконання JavaScript-коду зловмисники могли організувати перехоплення вмісту web-форм, підстановку або приховування довільних елементів на сторінках, відображення фіктивних повідомлень тощо. Проте при аналізі шкідливого коду було зафіксовано лише код для заміни реквізитів QIWI та гаманців Bitcoin на сторінках прийому платежів у darknet. У ході шкідливої діяльності на гаманцях, що використовуються для заміни, накопичилося 4.8 Bitcoin, що відповідає приблизно 40 тисячам доларів.
Джерело: opennet.ru