Torgo vagis
„Torg“ yra itin pavojinga informaciją vagianti kenkėjiška programa, skirta išgauti slaptus duomenis iš užkrėstų sistemų ir perduoti juos kibernetiniams nusikaltėliams per API pagrindu veikiančią infrastruktūrą. Ji platinama pagal „MaaS“ (Malware-as-a-Service) modelį, todėl yra prieinama įvairiems kenkėjiškų programų kūrėjams. Aptikus įrenginyje, būtina nedelsiant jį pašalinti, kad būtų išvengta tolesnio duomenų pažeidimo.
Turinys
Plačios naršyklės taikymo galimybės
Vienas pagrindinių „Torg“ privalumų yra gebėjimas įsilaužti į įvairias interneto naršykles. Jis konkrečiai taikomasi į „Chromium“ pagrindu veikiančias naršykles, tokias kaip „Chrome“, „Edge“, „Brave“ ir „Opera“, taip pat į „Firefox“ pagrindu veikiančias naršykles. Iš viso jis gali išgauti duomenis iš dešimčių naršyklių.
Kenkėjiška programa gali pasiekti saugomus prisijungimo duomenis, įskaitant išsaugotus slaptažodžius ir slapukus. Ji taip pat sukurta taip, kad apeitų arba iššifruotų naršyklės saugos mechanizmus, skirtus šiai informacijai apsaugoti, todėl net apsaugoti duomenys tampa pažeidžiami vagystės.
Naršyklės plėtinių ir jautrių priedų išnaudojimas
„Torg“ gerokai išplečia savo pasiekiamumą, taikydama naršyklės plėtinius. Ji gali išgauti duomenis iš daugiau nei 800 plėtinių, daugelis jų yra susiję su kriptovaliutų piniginėmis, įskaitant plačiai naudojamas parinktis, tokias kaip „MetaMask“ ir „Phantom“. Be to, ji taikosi į daugiau nei 100 su saugumu susijusių plėtinių, įskaitant slaptažodžių tvarkykles ir dviejų veiksnių autentifikavimo įrankius.
Be finansinių įrankių, kenkėjiška programa taip pat renka informaciją iš įvairių užrašų darymo plėtinių. Šie plėtiniai dažnai saugo slaptus naudotojų duomenis, tokius kaip slaptažodžiai, asmeniniai užrašai ir kita konfidenciali informacija, todėl jie tampa vertingais užpuolikų taikiniais.
Didelio masto kriptovaliutų piniginių vagystės
„Torg“ kelia rimtą grėsmę kriptovaliutų naudotojams, taikydamasi tiek į naršyklėse, tiek į darbalaukio piniginių programas. Ji gali išgauti jautrius piniginių duomenis iš daugiau nei 30 darbalaukio piniginių programų, įskaitant „Atomic“, „AtomicDEX“, „Bitcoin Core“, „Daedalus“, „Electrum“, „Ethereum“, „Exodus“, „Monero“, „MyEtherWallet“ ir „WalletWasabi“.
Kenkėjiška programa gali pavogti itin slaptą informaciją, pavyzdžiui, piniginės pradinius kodus, privačius raktus ir sesijos duomenis. Toks prieigos lygis gali leisti užpuolikams visiškai kontroliuoti kriptovaliutų turtą.
Ryšio, žaidimų ir sistemos duomenų taikymas
„Torg“ plečia savo duomenų vagysčių galimybes, įtraukdama įvairias programas ir paslaugas. Ji gali išgauti „Discord“ žetonus nuskaitydama „LevelDB“ duomenų bazes, suteikdama neteisėtą prieigą prie paskyrų nereikalaujant prisijungimo duomenų. Ji taip pat fiksuoja „Telegram“ sesijos duomenis, potencialiai suteikdama prieigą prie aktyvių vartotojų sesijų, ir vagia „Steam“ konfigūracijos failus, kurie gali būti naudojami žaidimų paskyroms užgrobti ar apsimesti kitomis.
Papildomi tikslai:
- VPN klientai („ExpressVPN“, „NordVPN“, „OpenVPN“, PIA, „ProtonVPN“, „Surfshark“, „WireGuard“, „Windscribe“), FTP ir nuotolinės prieigos įrankiai („FileZilla“, „mRemoteNG“, „MobaXterm“, „Total Commander“, „WinSCP“) ir el. pašto klientai, tokie kaip „Outlook“ ir „Thunderbird“
- Žaidimų platformos („Battle.net“, „GOG Galaxy“, „Minecraft“, „Origin/EA“, „Rockstar Games“, „Ubisoft Connect“) kartu su jautriais failais, saugomais darbalaukio ir dokumentų aplankuose
- Poveikis: didelė privatumo ir finansinė rizika
„Torg“ tyliai veikia fone, be vartotojo žinios rinkdamas įvairią neskelbtiną informaciją. Tai apima prisijungimo duomenis, finansinius duomenis, asmeninius failus ir paskyros prieigos žetonus.
Dėl plataus taikinių spektro užkrėtimas gali sukelti rimtų pasekmių, tokių kaip tapatybės vagystė, paskyrų perėmimas, finansiniai nuostoliai ir ilgalaikiai privatumo pažeidimai. Dėl gebėjimo vienu metu paveikti kelias platformas, virusas yra ypač žalingas.
Kaip „Torg“ užkrečia sistemas
Užkrato procesas paprastai prasideda, kai vartotojai atsisiunčia ir paleidžia kenkėjiškus failus, užmaskuotus kaip teisėtas turinys. Tai dažnai būna piratinė programinė įranga, nulaužtos programos, netikri diegimo failai arba žaidimų kodai. Pradinis paketas, vadinamas „dropper“, slapta įdiegia sistemoje papildomus kenkėjiškus komponentus.
Atakos grandinė apima kelis sudėtingus etapus:
- Lašintuvas dislokuoja paslėptą kenkėjišką programinę įrangą, naudodamas užmaskavimo ir šifravimo metodus, kad išvengtų aptikimo.
- Kenkėjiškas kodas gali būti vykdomas tiesiogiai atmintyje, vengiant aptikimo diske
- Įkroviklis paruošia sistemą paslėpdamas procesus arba įterpdamas kodą į teisėtus „Windows“ procesus.
Galiausiai atmintyje paleidžiamas „Torg“ duomenų vagystės įrankis, pradedant duomenų išgavimo veiklą.
„ClickFix“ ir kiti apgaulingi platinimo metodai
Be tradicinių užkrato vektorių, „Torg“ taip pat platinamas naudojant techniką, vadinamą „ClickFix“. Šis metodas manipuliuoja vartotojais, kad šie kopijuotų ir vykdytų kenkėjiškas komandas, dažnai užmaskuotas kaip teisėtos instrukcijos. Šios komandos paprastai yra „PowerShell“ scenarijai, kurie, įvykdyti, inicijuoja užkrėtimo procesą ir automatiškai atsisiunčia kenkėjišką programą.
Kartu su socialinės inžinerijos taktika ir techniniu obfuskavimu šie platinimo metodai paverčia „Torg“ labai veiksminga ir pavojinga grėsme, į kurią reikia nedelsiant atkreipti dėmesį ir ją pašalinti, jei ji aptinkama.
