Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Torg-stjeler

Torg-stjeler

Med Mezo i Skadelig programvare, Tyvere
Oversett til:

Torg er en svært farlig informasjonsstjelende skadevare som er utviklet for å trekke ut sensitive data fra infiserte systemer og overføre dem til nettkriminelle via en API-basert infrastruktur. Den distribueres under en Malware-as-a-Service (MaaS)-modell, noe som gjør den tilgjengelig for et bredt spekter av trusselaktører. Når den oppdages på en enhet, er umiddelbar fjerning avgjørende for å forhindre ytterligere datakompromittering.

Omfattende nettlesermålrettingsmuligheter

En av Torgs primære styrker ligger i evnen til å kompromittere et bredt utvalg av nettlesere. Den retter seg spesifikt mot Chromium-baserte nettlesere som Chrome, Edge, Brave og Opera, samt Firefox-baserte nettlesere. Totalt kan den trekke ut data fra dusinvis av nettlesere.

Skadevaren har tilgang til lagrede påloggingsinformasjon, inkludert lagrede passord og informasjonskapsler. Den er også konstruert for å omgå eller dekryptere nettlesersikkerhetsmekanismer som er utformet for å beskytte denne informasjonen, noe som gjør selv sikrede data sårbare for tyveri.

Utnyttelse av nettleserutvidelser og sensitive tillegg

Torg utvider rekkevidden sin betydelig ved å målrette nettleserutvidelser. Den er i stand til å trekke ut data fra mer enn 800 utvidelser, hvorav mange er knyttet til kryptovaluta-lommebøker, inkludert mye brukte alternativer som MetaMask og Phantom. I tillegg målretter den seg mot over 100 sikkerhetsrelaterte utvidelser, inkludert passordbehandlere og verktøy for tofaktorautentisering.

Utover økonomiske verktøy, samler skadevaren også inn informasjon fra diverse notatutvidelser. Disse utvidelsene lagrer ofte sensitive brukerdata som passord, personlige notater og annen konfidensiell informasjon, noe som gjør dem til verdifulle mål for angripere.

Tyveri av kryptovalutalommebøker i stor skala

Torg utgjør en alvorlig trussel mot kryptovalutabrukere ved å målrette seg mot både nettleserbaserte og stasjonære lommebokapplikasjoner. Den kan hente ut sensitive lommebokdata fra over 30 stasjonære lommebokprogrammer, inkludert Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet og WalletWasabi.

Skadevaren er i stand til å stjele svært sensitiv informasjon som lommebokfrø, private nøkler og øktdata. Dette tilgangsnivået kan gi angripere full kontroll over kryptovaluta-eiendeler.

Målretting mot kommunikasjon, spilling og systemdata

Torg utvider sine datatyverimuligheter til et bredt spekter av applikasjoner og tjenester. Den kan trekke ut Discord-tokens ved å skanne LevelDB-databaser, noe som gir uautorisert tilgang til kontoer uten å kreve innloggingsinformasjon. Den fanger også opp Telegram-øktdata, potensielt gir tilgang til aktive brukerøkter, og stjeler Steam-konfigurasjonsfiler som kan brukes til å kapre eller utgi seg for å være spillkontoer.

Ytterligere mål inkluderer:

  • VPN-klienter (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP- og verktøy for fjerntilgang (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) og e-postklienter som Outlook og Thunderbird
  • Spillplattformer (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), samt sensitive filer lagret i mappene Skrivebord og Dokumenter
  • Konsekvensene: Alvorlige personvern- og økonomiske risikoer

Torg opererer stille i bakgrunnen og samler inn en rekke sensitive opplysninger uten brukerens viten. Dette inkluderer påloggingsinformasjon, økonomiske data, personlige filer og kontotilgangstokener.

På grunn av det brede omfanget av infeksjoner kan de føre til alvorlige konsekvenser som identitetstyveri, kontoovertakelse, økonomiske tap og langsiktige brudd på personvernet. Evnen til å kompromittere flere plattformer samtidig gjør den spesielt destruktiv.

Hvordan Torg infiserer systemer

Infeksjonsprosessen starter vanligvis når brukere laster ned og kjører skadelige filer forkledd som legitimt innhold. Disse inkluderer ofte piratkopiert programvare, sprukne applikasjoner, falske installasjonsprogrammer eller spilljuksekoder. Den første nyttelasten, kjent som en dropper, installerer i hemmelighet ytterligere skadelige komponenter på systemet.

Angrepskjeden involverer flere sofistikerte stadier:

  • Dropperen distribuerer skjult skadelig programvare ved hjelp av obfuskerings- og krypteringsteknikker for å unngå oppdagelse
  • Ondsinnet kode kan kjøres direkte i minnet, og dermed unngå diskbasert deteksjon.
  • En laster forbereder systemet ved å skjule prosesser eller injisere kode i legitime Windows-prosesser.

Til slutt kjøres Torg-stjeleren i minnet, og starter datautfiltreringsaktivitetene sine.

ClickFix og andre villedende distribusjonsmetoder

I tillegg til tradisjonelle infeksjonsvektorer spres Torg også gjennom en teknikk kjent som ClickFix. Denne metoden manipulerer brukere til å kopiere og utføre ondsinnede kommandoer, ofte forkledd som legitime instruksjoner. Disse kommandoene er vanligvis PowerShell-skript som, når de er utført, starter infeksjonsprosessen og laster ned skadevaren automatisk.

Kombinert med sosial manipulering og teknisk tilsløring gjør disse distribusjonsmetodene Torg til en svært effektiv og farlig trussel som krever umiddelbar oppmerksomhet og fjerning hvis den oppdages.

 

Trender

Mest sett

Laster inn...