Крадец на Торг
Torg е силно опасен зловреден софтуер за кражба на информация, предназначен да извлича чувствителни данни от заразени системи и да ги предава на киберпрестъпници чрез инфраструктура, базирана на API. Той се разпространява по модела „зловреден софтуер като услуга“ (MaaS), което го прави достъпен за широк кръг от злонамерени лица. След като бъде открит на устройство, незабавното му премахване е от решаващо значение, за да се предотврати по-нататъшно компрометиране на данните.
Съдържание
Разширени възможности за таргетиране на браузъра
Една от основните силни страни на Torg се крие в способността му да компрометира голямо разнообразие от уеб браузъри. Той е насочен специално към браузъри, базирани на Chromium, като Chrome, Edge, Brave и Opera, както и към браузъри, базирани на Firefox. Като цяло, той може да извлича данни от десетки браузъри.
Зловредният софтуер е способен да осъществява достъп до съхранени данни за вход, включително запазени пароли и „бисквитки“. Той е проектиран и да заобикаля или декриптира механизмите за сигурност на браузъра, предназначени да защитават тази информация, което прави дори защитените данни уязвими за кражба.
Използване на разширения на браузъра и чувствителни добавки
Torg значително разширява обхвата си, като се насочва към разширения на браузъра. Той е способен да извлича данни от повече от 800 разширения, много от които са свързани с портфейли с криптовалута, включително широко използвани опции като MetaMask и Phantom. Освен това, той е насочен към над 100 разширения, свързани със сигурността, включително мениджъри на пароли и инструменти за двуфакторно удостоверяване.
Освен финансовите инструменти, зловредният софтуер събира информация и от различни разширения за водене на бележки. Тези разширения често съхраняват чувствителни потребителски данни, като пароли, лични бележки и друга поверителна информация, което ги прави ценни цели за нападателите.
Кражба на криптовалутен портфейл в голям мащаб
Torg представлява сериозна заплаха за потребителите на криптовалути, като е насочен както към браузърни, така и към настолни приложения за портфейли. Той може да извлича чувствителни данни от над 30 настолни програми за портфейли, включително Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet и WalletWasabi.
Зловредният софтуер е способен да краде високочувствителна информация, като например начални данни за портфейли, частни ключове и данни за сесии. Това ниво на достъп може да позволи на атакуващите да поемат пълен контрол върху криптовалутните активи.
Насочване към комуникация, игри и системни данни
Torg разширява възможностите си за кражба на данни до широк спектър от приложения и услуги. Той може да извлича Discord токени чрез сканиране на бази данни LevelDB, което позволява неоторизиран достъп до акаунти без изискване на идентификационни данни за вход. Той също така улавя данни от сесии на Telegram, потенциално предоставяйки достъп до активни потребителски сесии, и краде конфигурационни файлове на Steam, които могат да бъдат използвани за отвличане или представяне за игрални акаунти.
Допълнителните цели включват:
- VPN клиенти (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP и инструменти за отдалечен достъп (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) и имейл клиенти като Outlook и Thunderbird
- Игрални платформи (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), както и чувствителни файлове, съхранявани в папките „Desktop“ и „Documents“
- Въздействието: Сериозни рискове за поверителността и финансите
Torg работи тихо във фонов режим, събирайки широк набор от чувствителна информация без знанието на потребителя. Това включва идентификационни данни за вход, финансови данни, лични файлове и токени за достъп до акаунт.
Поради широкия си обхват на насочване, инфекциите могат да доведат до сериозни последици като кражба на самоличност, превземане на акаунти, финансови загуби и дългосрочни нарушения на поверителността. Способността му да компрометира множество платформи едновременно го прави особено разрушителен.
Как Torg заразява системите
Процесът на заразяване обикновено започва, когато потребителите изтеглят и изпълняват злонамерени файлове, маскирани като легитимно съдържание. Те често включват пиратски софтуер, кракнати приложения, фалшиви инсталатори или мами за игри. Първоначалният полезен товар, известен като dropper, тайно инсталира допълнителни злонамерени компоненти в системата.
Веригата на атаката включва няколко сложни етапа:
- Дропърът внедрява скрит зловреден софтуер, използвайки техники за обфускация и криптиране, за да избегне откриването.
- Злонамерен код може да се изпълнява директно в паметта, избягвайки откриване на базата на диск
- Зареждащата програма подготвя системата, като скрива процеси или инжектира код в легитимни процеси на Windows.
Накрая, крадецът на Torg се изпълнява в паметта, започвайки дейностите си по извличане на данни.
ClickFix и други подвеждащи методи за разпространение
В допълнение към традиционните вектори на заразяване, Torg се разпространява и чрез техника, известна като ClickFix. Този метод манипулира потребителите да копират и изпълняват злонамерени команди, често маскирани като легитимни инструкции. Тези команди обикновено са PowerShell скриптове, които след изпълнение инициират процеса на заразяване и автоматично изтеглят зловредния софтуер.
В комбинация с тактики на социално инженерство и техническо обфускация, тези методи за разпространение правят Torg високоефективна и опасна заплаха, която изисква незабавно внимание и премахване, ако бъде открита.
