Cibercriminosos estão se aproveitando da popularidade do Tor da mesma maneira que se aproveitam de outras oportunidades de capturar a identidade de internautas. Recentemente, o pesquisador de segurança francês Florent Daigniere descobriu um website (www.torbundlebrowser.org) que é uma réplica do site original da rede Tor original, com pequenas diferenças. Conforme detalhado pelo estudante de ciência da computação Julien Voisin em um post de seu blog, o site inclui links suspeitos para baixar o software Tor e um endereço de Bitcoin. No momento em que esta notícia era publicada, o site já estava fora do ar.
O layout e o conteúdo do site são os mesmos, embora o “Anúncio” no lado direito inclua um link para baixar uma “nova versão” do bundle destinado ao Windows (torbrowser-install-3.6.3_en-US. exe). Voisin baixou o pacote e fez engenharia reversa descobrindo a presença de um malware com a ferramenta ILSpy. O pesquisador também encontrou vários payloads criptografados. O malware permite que cibercriminosos tomem inteiramente o controle do computador infectado e que possam explorá-lo para roubar arquivos, atualizar o malware com módulos adicionais, executar comandos do sistema e uma grande quantidade de outras operações. O protocolo de comunicação implementado é muito simples, embora rodando num serviço oculto do Tor no endereço silkroad6cebts64.onion:24576.
