Torg Stealer

Torg یک بدافزار بسیار خطرناک سارق اطلاعات است که برای استخراج داده‌های حساس از سیستم‌های آلوده و انتقال آن به مجرمان سایبری از طریق یک زیرساخت مبتنی بر API طراحی شده است. این بدافزار تحت مدل Malware-as-a-Service (MaaS) توزیع می‌شود و همین امر آن را برای طیف وسیعی از عوامل تهدید قابل دسترسی می‌کند. پس از شناسایی در یک دستگاه، حذف فوری آن برای جلوگیری از به خطر افتادن بیشتر داده‌ها بسیار مهم است.

قابلیت‌های گسترده هدف‌گیری مرورگر

یکی از نقاط قوت اصلی Torg توانایی آن در به خطر انداختن طیف گسترده‌ای از مرورگرهای وب است. این بدافزار به طور خاص مرورگرهای مبتنی بر Chromium مانند Chrome، Edge، Brave و Opera و همچنین مرورگرهای مبتنی بر Firefox را هدف قرار می‌دهد. در مجموع، می‌تواند داده‌ها را از ده‌ها مرورگر استخراج کند.

این بدافزار قادر به دسترسی به اطلاعات ورود ذخیره شده، از جمله رمزهای عبور ذخیره شده و کوکی‌ها است. همچنین به گونه‌ای مهندسی شده است که مکانیسم‌های امنیتی مرورگر را که برای محافظت از این اطلاعات طراحی شده‌اند، دور بزند یا رمزگشایی کند و حتی داده‌های امن را نیز در برابر سرقت آسیب‌پذیر کند.

سوءاستفاده از افزونه‌های مرورگر و افزونه‌های حساس

Torg با هدف قرار دادن افزونه‌های مرورگر، دامنه نفوذ خود را به طور قابل توجهی گسترش می‌دهد. این بدافزار قادر به استخراج داده‌ها از بیش از ۸۰۰ افزونه است که بسیاری از آنها با کیف پول‌های ارز دیجیتال مرتبط هستند، از جمله گزینه‌های پرکاربرد مانند MetaMask و Phantom. علاوه بر این، بیش از ۱۰۰ افزونه مرتبط با امنیت، از جمله مدیران رمز عبور و ابزارهای احراز هویت دو مرحله‌ای را هدف قرار می‌دهد.

این بدافزار فراتر از ابزارهای مالی، اطلاعات را از افزونه‌های مختلف یادداشت‌برداری نیز جمع‌آوری می‌کند. این افزونه‌ها اغلب داده‌های حساس کاربر مانند رمزهای عبور، یادداشت‌های شخصی و سایر اطلاعات محرمانه را ذخیره می‌کنند و آنها را به اهداف ارزشمندی برای مهاجمان تبدیل می‌کنند.

سرقت کیف پول ارز دیجیتال در مقیاس بزرگ

تروجان Torg با هدف قرار دادن برنامه‌های کیف پول مبتنی بر مرورگر و دسکتاپ، تهدیدی جدی برای کاربران ارزهای دیجیتال محسوب می‌شود. این تروجان می‌تواند داده‌های حساس کیف پول را از بیش از 30 برنامه کیف پول دسکتاپ، از جمله Atomic، AtomicDEX، Bitcoin Core، Daedalus، Electrum، Ethereum، Exodus، Monero، MyEtherWallet و WalletWasabi استخراج کند.

این بدافزار قادر به سرقت اطلاعات بسیار حساس مانند سیدهای کیف پول، کلیدهای خصوصی و داده‌های جلسه است. این سطح دسترسی می‌تواند به مهاجمان اجازه دهد تا کنترل کامل دارایی‌های ارز دیجیتال را در دست بگیرند.

هدف قرار دادن ارتباطات، بازی‌ها و داده‌های سیستم

Torg قابلیت‌های سرقت داده‌های خود را به طیف وسیعی از برنامه‌ها و خدمات گسترش می‌دهد. این بدافزار می‌تواند با اسکن پایگاه‌های داده LevelDB، توکن‌های Discord را استخراج کند و دسترسی غیرمجاز به حساب‌ها را بدون نیاز به اطلاعات ورود امکان‌پذیر سازد. همچنین داده‌های جلسه تلگرام را ضبط می‌کند، که به طور بالقوه امکان دسترسی به جلسات فعال کاربر را فراهم می‌کند و فایل‌های پیکربندی Steam را که ممکن است برای ربودن یا جعل هویت حساب‌های بازی استفاده شوند، می‌دزدد.

اهداف اضافی عبارتند از:

• کلاینت‌های VPN (ExpressVPN، NordVPN، OpenVPN، PIA، ProtonVPN، Surfshark، WireGuard، Windscribe)، ابزارهای FTP و دسترسی از راه دور (FileZilla، mRemoteNG، MobaXterm، Total Commander، WinSCP) و کلاینت‌های ایمیل مانند Outlook و Thunderbird
• پلتفرم‌های بازی (Battle.net، GOG Galaxy، Minecraft، Origin/EA، Rockstar Games، Ubisoft Connect)، به همراه فایل‌های حساس ذخیره شده در پوشه‌های Desktop و Documents
• تأثیر: خطرات شدید حریم خصوصی و مالی

Torg به صورت بی‌سروصدا در پس‌زمینه فعالیت می‌کند و طیف گسترده‌ای از اطلاعات حساس را بدون اطلاع کاربر جمع‌آوری می‌کند. این اطلاعات شامل اطلاعات ورود به سیستم، داده‌های مالی، فایل‌های شخصی و توکن‌های دسترسی به حساب می‌شود.

با توجه به دامنه وسیع هدف‌گیری، آلودگی‌ها می‌توانند منجر به عواقب جدی مانند سرقت هویت، تصاحب حساب، ضررهای مالی و نقض حریم خصوصی در درازمدت شوند. توانایی آن در به خطر انداختن همزمان چندین پلتفرم، آن را به طور ویژه مخرب می‌کند.

چگونه Torg سیستم‌ها را آلوده می‌کند

فرآیند آلودگی معمولاً زمانی آغاز می‌شود که کاربران فایل‌های مخرب را که در پوشش محتوای قانونی قرار دارند، دانلود و اجرا می‌کنند. این فایل‌ها اغلب شامل نرم‌افزارهای غیرقانونی، برنامه‌های کرک‌شده، نصب‌کننده‌های جعلی یا تقلب در بازی‌ها می‌شوند. بار داده اولیه که به عنوان یک دراپر شناخته می‌شود، مخفیانه اجزای مخرب دیگری را روی سیستم نصب می‌کند.

زنجیره حمله شامل چندین مرحله پیچیده است:

• این دراپر با استفاده از تکنیک‌های مبهم‌سازی و رمزگذاری، بدافزار پنهان را برای جلوگیری از شناسایی مستقر می‌کند.
• کد مخرب ممکن است مستقیماً در حافظه اجرا شود و از شناسایی مبتنی بر دیسک جلوگیری کند.
• یک لودر با پنهان کردن فرآیندها یا تزریق کد به فرآیندهای قانونی ویندوز، سیستم را آماده می‌کند.

در نهایت، بدافزار سرقت اطلاعات Torg در حافظه اجرا می‌شود و فعالیت‌های استخراج اطلاعات خود را آغاز می‌کند.

کلیک‌فیکس و سایر روش‌های توزیع فریبنده

علاوه بر بردارهای آلودگی سنتی، Torg از طریق تکنیکی به نام ClickFix نیز پخش می‌شود. این روش کاربران را به کپی کردن و اجرای دستورات مخرب، که اغلب به عنوان دستورالعمل‌های قانونی پنهان می‌شوند، ترغیب می‌کند. این دستورات معمولاً اسکریپت‌های PowerShell هستند که پس از اجرا، فرآیند آلودگی را آغاز کرده و بدافزار را به طور خودکار دانلود می‌کنند.

این روش‌های توزیع، همراه با تاکتیک‌های مهندسی اجتماعی و مبهم‌سازی فنی، Torg را به یک تهدید بسیار مؤثر و خطرناک تبدیل می‌کند که در صورت شناسایی، نیاز به توجه فوری و حذف دارد.