По данным специалистов, браузер содержал троян и распространялся на форумах при обсуждении криптовалют, а также на сайте pastebin.com в качестве официальной русскоязычной версии Tor. Переход по ссылке приводил на фишинговую страницу, где предупреждалось о необходимости обновить Tor.
Старший исследователь ESET Антон Черепанов пояснил, что программа-фальшивка позволяла злоумышленникам видеть посещаемые жертвой сайты. По его словам, они также могли менять содержимое страниц, перехватывать данные, которые вводят пользователи, и показывать ненастоящие сообщения при просмотре сайтов.
По словам Черепанова, преступники изменили лишь настройки и расширения, из-за чего пользователи могли не заметить разницы. Аферисты заблокировали функции обновления и проверку цифровой подписи дополнений — это позволяло им не допустить потери функционала и вносить любые изменения.
Злоумышленники были нацелены на три крупнейших торговых площадки в русскоязычном сегменте даркнета. Они крали средства пользователей путем подмены оригинального адреса биткоин-кошелька на свой собственный. Преступники заполучили на свои кошельки в сумме не менее 4,8 биткоина (примерно 2,5 миллиона рублей).
Ранее сообщалось, что платформа Attor как минимум с 2013 года шпионила за россиянами и жителями Восточной Европы. Программа способна собирать с устройств личные данные людей.