Con esta trampa los cibercriminales responsables han tenido bastante éxito. Hasta ahora, sus cuentas donde distribuyen el software manipulado han tenido más de 500 mil visitas y han sido capaces de robar más de 40 mil dólares en bitcoins. Este Navegador Tor infectado se ha estado propagando utilizando dos sitios web creados en 2014 que afirman distribuir la versión oficial del navegador Tor en ruso.
El primero de los sitios muestra al visitante un mensaje en ruso que dice que tiene un Navegador Tor obsoleto. El mensaje se muestra incluso si el visitante tiene la versión más actualizada del Navegador Tor. El falso mensaje que se muestra en el sitio ruso, traducido al español, dice algo como: Tu anonimato está en peligro. Tu navegador Tor no está actualizado. Haz clic en el botón “Actualizar”. Al hacer clic en “Actualizar el Navegador Tor”, el visitante es redirigido a un segundo sitio web que ofrece la posibilidad de descargar un instalador de Windows con una versión modificada del programa infectado.
En 2017 y a principios de 2018, los ciberdelincuentes promocionaron las páginas web de este navegador Tor utilizando mensajes de spam en varios foros rusos. Este navegador infectado es una forma atípica de malware que fue diseñado para robar monedas digitales de los visitantes de los mercados de la darknet. Los delincuentes no modificaron los componentes binarios del Navegador Tor, En su lugar, solo introdujeron cambios en la configuración. Esto les ha permitido robar criptomonedas durante años, sin ser detectados.
