Torgin varastaja

Torg on erittäin vaarallinen, tietoja varastava haittaohjelma, joka on suunniteltu poimimaan arkaluonteisia tietoja tartunnan saaneista järjestelmistä ja välittämään niitä kyberrikollisille API-pohjaisen infrastruktuurin kautta. Se levitetään Malware-as-a-Service (MaaS) -mallin mukaisesti, minkä ansiosta se on saatavilla laajalle joukolle uhkatoimijoita. Kun se havaitaan laitteella, sen välitön poistaminen on ratkaisevan tärkeää lisätietojen vaarantumisen estämiseksi.

Laajat selainkohdistusominaisuudet

Yksi Torgin tärkeimmistä vahvuuksista on sen kyky murtautua monenlaisiin verkkoselaimiin. Se kohdistuu erityisesti Chromium-pohjaisiin selaimiin, kuten Chromeen, Edgeen, Braveen ja Operaan, sekä Firefox-pohjaisiin selaimiin. Yhteensä se voi poimia tietoja kymmenistä selaimista.

Haittaohjelma pystyy käyttämään tallennettuja kirjautumistietoja, mukaan lukien tallennetut salasanat ja evästeet. Se on myös suunniteltu ohittamaan tai purkamaan selaimen suojausmekanismit, jotka on suunniteltu suojaamaan näitä tietoja, mikä tekee jopa suojatuista tiedoista alttiita varkauksille.

Selainlaajennusten ja arkaluonteisten lisäosien hyödyntäminen

Torg laajentaa merkittävästi tavoittavuuttaan kohdistamalla toimintansa selainlaajennuksiin. Se pystyy poimimaan tietoja yli 800 laajennuksesta, joista monet liittyvät kryptovaluuttalompakoihin, mukaan lukien laajalti käytetyt vaihtoehdot, kuten MetaMask ja Phantom. Lisäksi se kohdistaa toimintansa yli 100 tietoturvaan liittyvään laajennukseen, mukaan lukien salasananhallintaohjelmat ja kaksivaiheiset todennustyökalut.

Taloustyökalujen lisäksi haittaohjelma kerää tietoja myös erilaisista muistiinpanolaajennuksista. Nämä laajennukset tallentavat usein arkaluonteisia käyttäjätietoja, kuten salasanoja, henkilökohtaisia muistiinpanoja ja muita luottamuksellisia tietoja, mikä tekee niistä arvokkaita kohteita hyökkääjille.

Kryptovaluuttalompakoiden varkaudet laajassa mittakaavassa

Torg on vakava uhka kryptovaluuttojen käyttäjille kohdistamalla hyökkäyksensä sekä selainpohjaisiin että työpöytäpohjaisiin lompakkosovelluksiin. Se voi poimia arkaluonteisia lompakkotietoja yli 30 työpöytälompakko-ohjelmasta, mukaan lukien Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet ja WalletWasabi.

Haittaohjelma pystyy varastamaan erittäin arkaluontoisia tietoja, kuten lompakon siemeniä, yksityisiä avaimia ja istuntotietoja. Tämän tason käyttöoikeus voi antaa hyökkääjille mahdollisuuden ottaa kryptovaluuttaomaisuuden täyden hallinnan.

Viestinnän, pelaamisen ja järjestelmätietojen kohdentaminen

Torg laajentaa tietovarkauskykyjään laajaan valikoimaan sovelluksia ja palveluita. Se voi poimia Discord-tokeneja skannaamalla LevelDB-tietokantoja, mikä mahdollistaa luvattoman pääsyn tileille ilman kirjautumistietoja. Se myös tallentaa Telegram-istuntotietoja, mikä mahdollisesti myöntää pääsyn aktiivisiin käyttäjäistuntoihin, ja varastaa Steam-määritystiedostoja, joita voidaan käyttää pelitilien kaappaamiseen tai henkilöllisyyden anastamiseen.

Muita tavoitteita ovat:

• VPN-asiakasohjelmat (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP- ja etäkäyttötyökalut (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) ja sähköpostiohjelmat, kuten Outlook ja Thunderbird
• Pelialustat (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect) sekä Työpöytä- ja Dokumentit-kansioihin tallennetut arkaluontoiset tiedostot
• Vaikutus: Vakavat yksityisyys- ja talousriskit

Torg toimii hiljaa taustalla ja kerää käyttäjän tietämättä laajan joukon arkaluonteisia tietoja. Näitä ovat muun muassa kirjautumistiedot, taloustiedot, henkilökohtaiset tiedostot ja tilin käyttöoikeudet.

Laajan kohdistusalueensa vuoksi tartunnat voivat johtaa vakaviin seurauksiin, kuten identiteettivarkauksiin, tilien kaappauksiin, taloudellisiin tappioihin ja pitkäaikaisiin yksityisyyden loukkauksiin. Sen kyky vaarantaa useita alustoja samanaikaisesti tekee siitä erityisen tuhoisan.

Kuinka Torg tartuttaa järjestelmiä

Tartuntaprosessi alkaa tyypillisesti, kun käyttäjät lataavat ja suorittavat haitallisia tiedostoja, jotka on naamioitu lailliseksi sisällöksi. Näihin kuuluvat usein piraattiohjelmistot, krakatut sovellukset, väärennetyt asennusohjelmat tai pelihuijauskoodit. Alkuperäinen hyötykuorma, joka tunnetaan nimellä dropper, asentaa salaa lisää haitallisia komponentteja järjestelmään.

Hyökkäysketjuun kuuluu useita monimutkaisia vaiheita:

• Dropper käyttää piilotettuja haittaohjelmia hämärtämis- ja salaustekniikoiden avulla välttääkseen havaitsemisen
• Haitallinen koodi voi suorittaa suoraan muistissa, jolloin levyltä ei voida havaita sitä.
• Lataaja valmistelee järjestelmän piilottamalla prosesseja tai lisäämällä koodia laillisiin Windows-prosesseihin

Lopuksi Torg-varastaja suoritetaan muistissa, ja se aloittaa tiedonkeruutoimintansa.

ClickFix ja muut harhaanjohtavat levitysmenetelmät

Perinteisten tartuntavektorien lisäksi Torgia levitetään myös ClickFix-nimisellä tekniikalla. Tämä menetelmä manipuloi käyttäjiä kopioimaan ja suorittamaan haitallisia komentoja, jotka usein naamioidaan laillisiksi ohjeiksi. Nämä komennot ovat tyypillisesti PowerShell-skriptejä, jotka suoritettuaan käynnistävät tartuntaprosessin ja lataavat haittaohjelman automaattisesti.

Yhdessä sosiaalisen manipuloinnin taktiikoiden ja teknisen hämärtämisen kanssa nämä levitysmenetelmät tekevät Torgista erittäin tehokkaan ja vaarallisen uhan, joka vaatii välitöntä huomiota ja poistamista, jos se havaitaan.