Un estudiante de ciencias de la computación descubrió una copia casi perfecta de la página web de TOR Project, la cual descarga malware en lugar del navegador web de TOR y además recolecta donaciones que por derecho le corresponden a los desarrolladores de TOR.

Alertado por un amigo de la existencia de la página falsa, Julien Voisen descargó el supuesto bundle del navegador TOR (torbrowser-install-3.6.3_en-US.exe) y logró hacerle ingeniería inversa.

Lo que descubrió es que el malware puede ordenar descargar y cargar archivos,  actualizarse, tomar capturas de pantalla, ejecutar comandos del sistema, reiniciar el sistema, subir directorios, obtener unidades y establecer nuevas conexiones.

El protocolo de comunicación se ejecuta en un servicio oculto de TOR, pero Voisin logró contactar al botmaster (individuo responsable de una botnet).

"Ella o él me dijo que son un pequeño grupo (quizá de China) tratando de atrapar pedófilos difundiendo el enlace de la página web falsa en grupos de pedofilia y añadió que un pedófilo ya fue reportado a Cybertip (Canadian Centre for Child Protection’s tipline)," relató Voisin, sin embargo, mencionó que él mismo dudaba de la historia, "el delincuente no sólo esparció malware en lugar del TOR Browsing legítimo sino que también remplazó la página de donaciones con su propia dirección BTC (dirección Bitcoin)".

La página web ya no se encuentra en línea pero es muy posible que las personas detrás de esto se muevan a otra con un dominio distinto e igualmente engañoso.