Torg Stealer

تورج هو برنامج خبيث شديد الخطورة مصمم لسرقة المعلومات، حيث يستخرج البيانات الحساسة من الأنظمة المصابة وينقلها إلى مجرمي الإنترنت عبر بنية تحتية تعتمد على واجهة برمجة التطبيقات (API). يُوزع هذا البرنامج وفق نموذج "البرمجيات الخبيثة كخدمة" (MaaS)، مما يجعله متاحًا لمجموعة واسعة من الجهات الخبيثة. بمجرد اكتشافه على أي جهاز، يصبح إزالته فورًا أمرًا بالغ الأهمية لمنع المزيد من اختراق البيانات.

إمكانيات استهداف واسعة النطاق للمتصفحات

تكمن إحدى نقاط قوة برنامج Torg الرئيسية في قدرته على اختراق مجموعة واسعة من متصفحات الويب. فهو يستهدف تحديدًا المتصفحات المبنية على Chromium مثل Chrome وEdge وBrave وOpera، بالإضافة إلى المتصفحات المبنية على Firefox. إجمالًا، يستطيع البرنامج استخراج البيانات من عشرات المتصفحات.

يستطيع هذا البرنامج الخبيث الوصول إلى بيانات تسجيل الدخول المخزنة، بما في ذلك كلمات المرور وملفات تعريف الارتباط. كما أنه مصمم لتجاوز أو فك تشفير آليات أمان المتصفح المصممة لحماية هذه المعلومات، مما يجعل حتى البيانات المحمية عرضة للسرقة.

استغلال إضافات المتصفح والملحقات الحساسة

يُوسّع برنامج Torg نطاقه بشكلٍ ملحوظ من خلال استهداف إضافات المتصفح. فهو قادر على استخراج البيانات من أكثر من 800 إضافة، يرتبط العديد منها بمحافظ العملات الرقمية، بما في ذلك خيارات شائعة الاستخدام مثل MetaMask وPhantom. بالإضافة إلى ذلك، يستهدف البرنامج أكثر من 100 إضافة متعلقة بالأمان، بما في ذلك برامج إدارة كلمات المرور وأدوات المصادقة الثنائية.

إلى جانب الأدوات المالية، يجمع البرنامج الخبيث معلومات من إضافات تدوين الملاحظات المختلفة. غالبًا ما تخزن هذه الإضافات بيانات حساسة للمستخدمين مثل كلمات المرور والملاحظات الشخصية وغيرها من المعلومات السرية، مما يجعلها أهدافًا قيّمة للمهاجمين.

سرقة محافظ العملات المشفرة على نطاق واسع

يشكل برنامج Torg تهديدًا خطيرًا لمستخدمي العملات المشفرة، إذ يستهدف تطبيقات محافظ العملات الرقمية على المتصفح وأجهزة الكمبيوتر. ويمكنه استخراج بيانات حساسة من أكثر من 30 برنامجًا لمحافظ العملات الرقمية على أجهزة الكمبيوتر، بما في ذلك Atomic وAtomicDEX وBitcoin Core وDaedalus وElectrum وEthereum وExodus وMonero وMyEtherWallet وWalletWasabi.

يستطيع هذا البرنامج الخبيث سرقة معلومات بالغة الحساسية، مثل بيانات المحفظة، والمفاتيح الخاصة، وبيانات الجلسات. يُمكّن هذا المستوى من الوصول المهاجمين من السيطرة الكاملة على أصول العملات المشفرة.

استهداف الاتصالات والألعاب وبيانات النظام

يُوسّع برنامج Torg نطاق قدراته في سرقة البيانات ليشمل مجموعة واسعة من التطبيقات والخدمات. فهو قادر على استخراج رموز Discord من خلال مسح قواعد بيانات LevelDB، مما يُتيح الوصول غير المصرح به إلى الحسابات دون الحاجة إلى بيانات تسجيل الدخول. كما يقوم البرنامج بالتقاط بيانات جلسات Telegram، مما قد يُتيح الوصول إلى جلسات المستخدمين النشطة، ويسرق ملفات تكوين Steam التي يُمكن استخدامها لاختراق حسابات الألعاب أو انتحال هويتها.

وتشمل الأهداف الإضافية ما يلي:

• عملاء VPN (ExpressVPN، NordVPN، OpenVPN، PIA، ProtonVPN، Surfshark، WireGuard، Windscribe)، وأدوات FTP والوصول عن بُعد (FileZilla، mRemoteNG، MobaXterm، Total Commander، WinSCP)، وعملاء البريد الإلكتروني مثل Outlook وThunderbird
• منصات الألعاب (Battle.net، GOG Galaxy، Minecraft، Origin/EA، Rockstar Games، Ubisoft Connect)، بالإضافة إلى الملفات الحساسة المخزنة في مجلدات سطح المكتب والمستندات.
• الأثر: مخاطر جسيمة على الخصوصية والمخاطر المالية

يعمل برنامج Torg بصمت في الخلفية، جامعًا مجموعة واسعة من المعلومات الحساسة دون علم المستخدم. ويشمل ذلك بيانات تسجيل الدخول، والبيانات المالية، والملفات الشخصية، ورموز الوصول إلى الحساب.

نظراً لنطاق استهدافها الواسع، يمكن أن تؤدي الإصابات إلى عواقب وخيمة مثل سرقة الهوية، والاستيلاء على الحسابات، والخسائر المالية، وانتهاكات الخصوصية طويلة الأمد. وقدرتها على اختراق منصات متعددة في وقت واحد تجعلها مدمرة بشكل خاص.

كيف يصيب تورج الأنظمة

تبدأ عملية الإصابة عادةً عندما يقوم المستخدمون بتنزيل وتشغيل ملفات خبيثة متنكرة في هيئة محتوى شرعي. غالبًا ما تتضمن هذه الملفات برامج مقرصنة، أو تطبيقات مقرصنة، أو برامج تثبيت وهمية، أو برامج غش للألعاب. يقوم البرنامج الضار الأولي، المعروف باسم "المثبّت"، بتثبيت مكونات خبيثة إضافية على النظام سرًا.

تتضمن سلسلة الهجوم عدة مراحل معقدة:

• يقوم برنامج التثبيت بنشر برمجيات خبيثة مخفية باستخدام تقنيات التمويه والتشفير لتجنب الكشف عنها.
• قد يتم تنفيذ التعليمات البرمجية الخبيثة مباشرة في الذاكرة، مما يتجنب اكتشافها على القرص.
• يقوم برنامج التحميل بتجهيز النظام عن طريق إخفاء العمليات أو حقن التعليمات البرمجية في عمليات ويندوز المشروعة.

وأخيرًا، يتم تشغيل برنامج سرقة البيانات Torg في الذاكرة، ليبدأ بذلك أنشطته في استخراج البيانات.

كليك فيكس وأساليب التوزيع الخادعة الأخرى

بالإضافة إلى طرق العدوى التقليدية، ينتشر برنامج Torg الخبيث أيضًا عبر تقنية تُعرف باسم ClickFix. تعتمد هذه الطريقة على التلاعب بالمستخدمين لحملهم على نسخ وتنفيذ أوامر خبيثة، غالبًا ما تكون مُقنّعة كتعليمات شرعية. عادةً ما تكون هذه الأوامر عبارة عن نصوص برمجية مكتوبة بلغة PowerShell، والتي بمجرد تنفيذها، تبدأ عملية العدوى وتُنزّل البرمجية الخبيثة تلقائيًا.

بالإضافة إلى أساليب الهندسة الاجتماعية والتمويه التقني، فإن أساليب التوزيع هذه تجعل من تورج تهديدًا فعالًا وخطيرًا للغاية يتطلب اهتمامًا فوريًا وإزالة فورية في حالة اكتشافه.