Torg Tolvaj
A Torg egy rendkívül veszélyes, információkat ellopó kártevő, amelyet arra terveztek, hogy érzékeny adatokat nyerjen ki a fertőzött rendszerekből, és API-alapú infrastruktúrán keresztül továbbítsa azokat a kiberbűnözőknek. Malware-as-a-Service (MaaS) modell szerint terjed, így számos fenyegető szereplő számára elérhető. Az eszközön észlelés után azonnali eltávolítása elengedhetetlen a további adatszivárgás megelőzése érdekében.
Tartalomjegyzék
Kiterjedt böngészőcélzási lehetőségek
A Torg egyik fő erőssége abban rejlik, hogy számos webböngészőt képes megtámadni. Kifejezetten a Chromium-alapú böngészőket, például a Chrome-ot, az Edge-et, a Brave-et és az Operát, valamint a Firefox-alapú böngészőket veszi célba. Összesen több tucat böngészőből képes adatokat kinyerni.
A rosszindulatú program képes hozzáférni a tárolt bejelentkezési adatokhoz, beleértve a mentett jelszavakat és sütiket is. Úgy is tervezték, hogy megkerülje vagy visszafejtse a böngésző ezen információk védelmére szolgáló biztonsági mechanizmusait, így még a védett adatokat is sebezhetővé teszi a lopással szemben.
Böngészőbővítmények és érzékeny kiegészítők kihasználása
A Torg jelentősen bővíti elérhetőségét a böngészőbővítmények célzásával. Több mint 800 kiterjesztésből képes adatokat kinyerni, amelyek közül sok kriptovaluta-tárcákhoz kapcsolódik, beleértve a széles körben használt opciókat, mint például a MetaMask és a Phantom. Ezenkívül több mint 100 biztonsággal kapcsolatos bővítményt céloz meg, beleértve a jelszókezelőket és a kétfaktoros hitelesítési eszközöket.
A pénzügyi eszközökön túl a rosszindulatú program különféle jegyzetelő bővítményekből is gyűjt információkat. Ezek a bővítmények gyakran tárolnak érzékeny felhasználói adatokat, például jelszavakat, személyes jegyzeteket és más bizalmas információkat, így értékes célpontokká válnak a támadók számára.
Kriptovaluta tárca lopás nagy léptékben
A Torg komoly fenyegetést jelent a kriptovaluta-felhasználókra azáltal, hogy mind a böngészőalapú, mind az asztali pénztárca-alkalmazásokat célozza meg. Több mint 30 asztali pénztárca-programból képes érzékeny pénztárca-adatokat kinyerni, beleértve az Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet és WalletWasabi programokat.
A rosszindulatú program képes rendkívül érzékeny információk, például tárca-alapú seedek, privát kulcsok és munkamenet-adatok ellopására. Ez a hozzáférési szint lehetővé teszi a támadók számára, hogy teljes mértékben átvegyék az irányítást a kriptovaluta-eszközök felett.
Kommunikáció, játékok és rendszeradatok célzása
A Torg adatlopási képességeit számos alkalmazásra és szolgáltatásra kiterjeszti. A LevelDB adatbázisok beolvasásával Discord tokeneket képes kinyerni, lehetővé téve a fiókokhoz való jogosulatlan hozzáférést bejelentkezési adatok nélkül. Emellett Telegram munkamenet-adatokat is rögzít, potenciálisan hozzáférést biztosítva az aktív felhasználói munkamenetekhez, és ellopja a Steam konfigurációs fájlokat, amelyek felhasználhatók játékosfiókok eltérítésére vagy megszemélyesítésére.
További célok a következők:
- VPN kliensek (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP és távoli elérésű eszközök (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP), valamint e-mail kliensek, mint például az Outlook és a Thunderbird
- Játékplatformok (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), valamint az Asztal és a Dokumentumok mappákban tárolt érzékeny fájlok
- A hatás: Súlyos adatvédelmi és pénzügyi kockázatok
A Torg csendben működik a háttérben, és a felhasználó tudta nélkül számos érzékeny információt gyűjt. Ilyenek például a bejelentkezési adatok, pénzügyi adatok, személyes fájlok és fiókhozzáférési tokenek.
Széles körű célzási köre miatt a fertőzések súlyos következményekkel járhatnak, mint például személyazonosság-lopás, fiókátvétel, pénzügyi veszteségek és hosszú távú adatvédelmi incidensek. Az a képessége, hogy egyszerre több platformot is feltörhet, különösen rombolóvá teszi.
Hogyan fertőzi meg a Torg a rendszereket
A fertőzési folyamat jellemzően akkor kezdődik, amikor a felhasználók letöltenek és végrehajtanak rosszindulatú fájlokat, amelyek legitim tartalomnak álcázva vannak. Ezek gyakran kalózszoftvereket, feltört alkalmazásokat, hamis telepítőket vagy játékcsalásokat tartalmaznak. A kezdeti hasznos állomány, más néven dropper, titokban további rosszindulatú komponenseket telepít a rendszerre.
A támadási lánc több kifinomult szakaszból áll:
- A dropper rejtett rosszindulatú programokat telepít obfuszkálási és titkosítási technikák segítségével, hogy elkerülje az észlelést.
- A rosszindulatú kód közvetlenül a memóriában futhat, elkerülve a lemezalapú észlelést
- A betöltő előkészíti a rendszert folyamatok elrejtésével vagy kód beillesztésével legitim Windows folyamatokba.
Végül a Torg adatlopó lefut a memóriában, megkezdve az adatlopási tevékenységét
ClickFix és más megtévesztő terjesztési módszerek
A hagyományos fertőzési vektorok mellett a Torg vírust egy ClickFix néven ismert technikával is terjesztik. Ez a módszer manipulálja a felhasználókat, hogy rosszindulatú parancsokat másoljanak és hajtsanak végre, gyakran legitim utasításoknak álcázva. Ezek a parancsok jellemzően PowerShell szkriptek, amelyek végrehajtásuk után elindítják a fertőzési folyamatot, és automatikusan letöltik a rosszindulatú programot.
A társadalmi manipulációval és a technikai obfuszkálással kombinálva ezek a terjesztési módszerek a Torgot rendkívül hatékony és veszélyes fenyegetéssé teszik, amely azonnali figyelmet és eltávolítást igényel, ha észlelik.
