مهاجمان سایبری پشت عملیات سرقت بیت کوین از کابران دارک وب، سال‌ها است که نسخه‌ای مخرب از مرورگر Tor را پخش و توزیع می‌كنند تا از طریق این نسخه به زیرساخت‌های اینترنت دسترسی پیدا کنند. این نسخه تقلبی توزیع‌شده یک سرقت رمزنگاری را نیز به همراه دارد که منجر به سرقت ۴/۸ بیت کوین شده است.

ورود به شبکه Tor یک الزام برای دسترسی به وب سایت‌های زیرزمینی دارک وب است؛ در نتیجه اپراتورهای کلاهبردار از این فرصت استفاده کردند و نسخه خود از بسته Tor را در انجمن‌ها و سایت‌هایی چون PasteBin به‌عنوان «نسخه رسمی روسی زبان مرورگر Tor» تبلیغ کردند. طبق گزارش ESET، در طول سال‌های ۲۰۱۷ و ۲۰۱۸، توزیع این مرورگر تقلبی در حال انجام بوده است.

بازدیدکنندگان از طریق این تبلیغات به یک وب‌سایت دیگر که حاوی نسخه‌ی تقلبی یادشده از مرورگر Tor بود، هدایت می‌شدند و نسخه ویندوز مرورگر تقلبی را دریافت می‌کردند. در حال حاضر، هیچ گزارشی از نصب این مرورگر تقلبی در سیستم‌عامل مک، لینوکس یا نسخه‌های موبایل وجود ندارد.

پس از نصب نسخه‌ی تقلبی از مرورگر Tor، تغییراتی در تنظیمات و افزونه‌ها اعمال خواهد شد و استاندارد کاربر را مقداری تغییر می‌دهد که می‌تواند از سوی سرور به سرقت اطلاعات کاربر بپردازد. از سوی دیگر تنظیمات xpinstall.signatures.required نیز با دستکاری رو‌به‌رو خواهد شد. در نتیجه قابلیت بررسی امضای دیجیتالی که توسط سرویس قانونی Tor انجام می‌شود تا از برنامه‌های مخربی که می‌توانند ایمنی و ناشناس بودن کاربر را به خطر بیاندازد نیز در این نسخه تقلبی غیرفعال خواهد شد. در واقع این نسخه‌ی مخرب از مرورگر Tor به مهاجمان امکان اصلاح، تغییر یا بارگیری افزونه‌ها را خواهد داد.

از سوی دیگر این نسخه‌ی مخرب، افزونه‌ی HTTPS Everywhere به‌صورت پیش‌فرض افزودن اسکریپتی را که در هر صفحه قرار دارد بارگذاری می‌کند و فعالیت کاربر را مستقیماً به سرور فرمان و کنترل (C2) که توسط مهاجمین کنترل می‌شود، ارسال خواهد کرد. C2 که در دارک وب واقع شده، میزبان یک payload بوده که برای اجرا در مرورگر طراحی شده است. این حمله JavaScript به‌طور خاص، سه بازار بزرگ دارک وب روسی زبان را هدف قرار داده است.

خریدهای انجام‌شده در این بازارها معمولاً با استفاده از ارز دیجیتال مانند بیت‌کوین انجام می‌شود. اگر یک کاربر از این دامنه‌ها بازدید کرده و اقدام به خرید کند، اسکریپت فعال شده و تلاش می‌کند تا آدرس کیف پول را تغییر دهد، در نهایت وجه پرداختی به کیف پول دیگری انتقال خواهد یافت.

نمی‌توان گفت که میزان تبلیغات چقدر گسترده بوده است، اما محققان می‌گویند که صفحات PasteBin برای ارتقاء این مرورگر، حداقل نیم میلیون بار بازدید شده‌اند؛ کیف‌های پول متعلق به این مجرمان سایبری نیز دارای ۴/۸ بیت‌کوین معادل تقریبا ۴۰/۰۰۰ دلار بوده است اما ارزش واقعی صندوق‌های سرقت‌شده احتمالاً بالاتر خواهد بود.

به هر جهت تاکتیک دستکاری نرم‌افزارهای قانونی برای مقاصد مخرب یک امر رایج است و برای کاهش خطرات، همیشه باید از منابع معتبر و رسمی برای دریافت نرم‌افزارهای جدید استفاده کرد.