Przeglądarka Tor zapewnia anonimowość w sieci, pozwala odwiedzać strony internetowe za pośrednictwem sieci Tor, gdzie możliwe jest ukrycie prawdziwych danych dotyczących użytkownika.

Jak podają eksperci z ESET, złośliwa wersja Tor-a dystrybuowana jest poprzez link umieszczony na forach internetowych, a dokładniej przez dwie, które podszywają się pod oryginalną stronę z instalatorem.
Znajdujący się tam pakiet instalacyjny jest niewykrywalny przez programy antywirusowe, a jednocześnie jest tak przygotowany, aby nie były pobierane automatycznie aktualizacje przeglądarki.

Cyberprzestępcy zmodyfikowali rozszerzenie HTTPS Everywhere, gdzie pojawił się pakiet skryptowy w JavaScript, który ładuje się na każdej odwiedzanej stronie internetowej. Jak tłumaczą eksperci z ESET skrypt dokonuje zmiany w usłudze internetowych przekazów pieniężnych QIWI lub w portfelach krytowalutowych funkcjonujących w darknecie.

Złośliwą wersję TOR-a pobrano przynajmniej 500 tysięcy razy.