Pencuri Torg
Torg ialah perisian hasad pencuri maklumat yang sangat berbahaya yang direka untuk mengekstrak data sensitif daripada sistem yang dijangkiti dan menghantarnya kepada penjenayah siber melalui infrastruktur berasaskan API. Ia diedarkan di bawah model Perisian Hasad-sebagai-Perkhidmatan (MaaS), menjadikannya boleh diakses oleh pelbagai pelaku ancaman. Sebaik sahaja dikesan pada peranti, penyingkiran segera adalah penting untuk mencegah pencerobohan data selanjutnya.
Isi kandungan
Keupayaan Penyasaran Pelayar yang Luas
Salah satu kekuatan utama Torg terletak pada keupayaannya untuk menjejaskan pelbagai jenis pelayar web. Ia secara khusus menyasarkan pelayar berasaskan Chromium seperti Chrome, Edge, Brave dan Opera, serta pelayar berasaskan Firefox. Secara keseluruhan, ia boleh mengekstrak data daripada berpuluh-puluh pelayar.
Perisian hasad ini mampu mengakses kelayakan log masuk yang disimpan, termasuk kata laluan dan kuki yang disimpan. Ia juga direka bentuk untuk memintas atau menyahsulit mekanisme keselamatan pelayar yang direka untuk melindungi maklumat ini, menjadikan data yang selamat pun terdedah kepada kecurian.
Mengeksploitasi Sambungan Pelayar dan Alat Tambahan Sensitif
Torg meluaskan jangkauannya dengan ketara dengan menyasarkan sambungan pelayar. Ia mampu mengekstrak data daripada lebih 800 sambungan, yang kebanyakannya dikaitkan dengan dompet mata wang kripto, termasuk pilihan yang digunakan secara meluas seperti MetaMask dan Phantom. Di samping itu, ia menyasarkan lebih 100 sambungan berkaitan keselamatan, termasuk pengurus kata laluan dan alat pengesahan dua faktor.
Selain alat kewangan, perisian hasad ini juga mengumpul maklumat daripada pelbagai sambungan pencatat nota. Sambungan ini sering menyimpan data pengguna sensitif seperti kata laluan, nota peribadi dan maklumat sulit lain, menjadikannya sasaran berharga bagi penyerang.
Kecurian Dompet Mata Wang Kripto pada Skala Besar
Torg menimbulkan ancaman teruk kepada pengguna mata wang kripto dengan menyasarkan aplikasi berasaskan pelayar dan dompet desktop. Ia boleh mengekstrak data dompet sensitif daripada lebih 30 program dompet desktop, termasuk Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet dan WalletWasabi.
Perisian hasad ini mampu mencuri maklumat yang sangat sensitif seperti benih dompet, kunci peribadi dan data sesi. Tahap akses ini membolehkan penyerang mengambil kawalan penuh ke atas aset mata wang kripto.
Menyasarkan Komunikasi, Permainan dan Data Sistem
Torg meluaskan keupayaan kecurian datanya kepada pelbagai aplikasi dan perkhidmatan. Ia boleh mengekstrak token Discord dengan mengimbas pangkalan data LevelDB, membolehkan akses tanpa kebenaran ke akaun tanpa memerlukan kelayakan log masuk. Ia juga menangkap data sesi Telegram, berpotensi memberikan akses kepada sesi pengguna aktif dan mencuri fail konfigurasi Steam yang mungkin digunakan untuk merampas atau menyamar sebagai akaun permainan.
Sasaran tambahan termasuk:
- Klien VPN (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP dan alat akses jauh (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP), dan klien e-mel seperti Outlook dan Thunderbird
- Platform permainan (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), berserta fail sensitif yang disimpan dalam folder Desktop dan Dokumen
- Kesannya: Privasi dan Risiko Kewangan yang Teruk
Torg beroperasi secara senyap di latar belakang, mengumpul pelbagai maklumat sensitif tanpa pengetahuan pengguna. Ini termasuk kelayakan log masuk, data kewangan, fail peribadi dan token akses akaun.
Disebabkan skop sasarannya yang luas, jangkitan boleh mengakibatkan akibat yang serius seperti kecurian identiti, pengambilalihan akaun, kerugian kewangan dan pelanggaran privasi jangka panjang. Keupayaannya untuk menjejaskan pelbagai platform secara serentak menjadikannya sangat merosakkan.
Bagaimana Torg Menjangkiti Sistem
Proses jangkitan biasanya bermula apabila pengguna memuat turun dan melaksanakan fail berniat jahat yang menyamar sebagai kandungan yang sah. Ini selalunya termasuk perisian cetak rompak, aplikasi yang dipecahkan, pemasang palsu atau penipuan permainan. Muatan awal, yang dikenali sebagai penitis, secara rahsia memasang komponen berniat jahat tambahan ke dalam sistem.
Rantaian serangan melibatkan beberapa peringkat yang canggih:
- Penitis menggunakan perisian hasad tersembunyi menggunakan teknik pengaburan dan penyulitan untuk mengelakkan pengesanan
- Kod berniat jahat mungkin dilaksanakan terus dalam memori, mengelakkan pengesanan berasaskan cakera
- Pemuat menyediakan sistem dengan menyembunyikan proses atau menyuntik kod ke dalam proses Windows yang sah
Akhirnya, pencuri Torg dilaksanakan dalam ingatan, memulakan aktiviti pengekstrakan datanya
ClickFix dan Kaedah Pengedaran Menipu Lain
Selain vektor jangkitan tradisional, Torg juga tersebar melalui teknik yang dikenali sebagai ClickFix. Kaedah ini memanipulasi pengguna untuk menyalin dan melaksanakan arahan berniat jahat, yang selalunya disamarkan sebagai arahan yang sah. Arahan ini biasanya skrip PowerShell yang, setelah dilaksanakan, akan memulakan proses jangkitan dan memuat turun perisian hasad secara automatik.
Digabungkan dengan taktik kejuruteraan sosial dan pengeliruan teknikal, kaedah pengedaran ini menjadikan Torg ancaman yang sangat berkesan dan berbahaya yang memerlukan perhatian dan penyingkiran segera jika dikesan.
