Złodziej Torgów

Torg to niezwykle niebezpieczne złośliwe oprogramowanie kradnące informacje, którego celem jest wydobycie poufnych danych z zainfekowanych systemów i przesłanie ich cyberprzestępcom za pośrednictwem infrastruktury opartej na API. Jest ono dystrybuowane w modelu Malware-as-a-Service (MaaS), co czyni je dostępnym dla szerokiego grona cyberprzestępców. Po wykryciu na urządzeniu, natychmiastowe usunięcie jest kluczowe, aby zapobiec dalszemu wyciekowi danych.

Obszerne możliwości kierowania na przeglądarki

Jedną z głównych zalet Torga jest jego zdolność do atakowania szerokiej gamy przeglądarek internetowych. Dotyczy to w szczególności przeglądarek opartych na Chromium, takich jak Chrome, Edge, Brave i Opera, a także przeglądarek opartych na Firefoksie. Łącznie Torg potrafi wyodrębnić dane z kilkudziesięciu przeglądarek.

Szkodliwe oprogramowanie może uzyskać dostęp do zapisanych danych logowania, w tym haseł i plików cookie. Zostało również zaprojektowane tak, aby omijać lub deszyfrować mechanizmy bezpieczeństwa przeglądarki, które chronią te informacje, narażając nawet zabezpieczone dane na kradzież.

Wykorzystywanie rozszerzeń przeglądarki i wrażliwych dodatków

Torg znacząco rozszerza swój zasięg, atakując rozszerzenia przeglądarek. Jest w stanie wyodrębnić dane z ponad 800 rozszerzeń, z których wiele jest powiązanych z portfelami kryptowalut, w tym z powszechnie używanymi opcjami, takimi jak MetaMask i Phantom. Dodatkowo, atakuje ponad 100 rozszerzeń związanych z bezpieczeństwem, w tym menedżery haseł i narzędzia do uwierzytelniania dwuskładnikowego.

Oprócz narzędzi finansowych, złośliwe oprogramowanie gromadzi również informacje z różnych rozszerzeń do robienia notatek. Rozszerzenia te często przechowują poufne dane użytkownika, takie jak hasła, notatki osobiste i inne poufne informacje, co czyni je cennymi celami dla atakujących.

Kradzież portfeli kryptowalutowych na dużą skalę

Torg stanowi poważne zagrożenie dla użytkowników kryptowalut, atakując zarówno aplikacje portfelowe w przeglądarce, jak i na komputerach stacjonarnych. Potrafi on wyodrębnić poufne dane portfela z ponad 30 programów portfelowych, w tym Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet i WalletWasabi.

Szkodliwe oprogramowanie potrafi wykraść bardzo poufne informacje, takie jak seedy portfeli, klucze prywatne i dane sesji. Ten poziom dostępu pozwala atakującym przejąć pełną kontrolę nad zasobami kryptowalutowymi.

Celowanie w komunikację, gry i dane systemowe

Torg rozszerza swoje możliwości kradzieży danych na szeroką gamę aplikacji i usług. Potrafi wyodrębnić tokeny Discorda, skanując bazy danych LevelDB, umożliwiając nieautoryzowany dostęp do kont bez konieczności logowania. Przechwytuje również dane sesji Telegramu, potencjalnie udzielając dostępu do aktywnych sesji użytkowników, oraz kradnie pliki konfiguracyjne Steam, które mogą zostać wykorzystane do przejęcia lub podszywania się pod konta graczy.

Dodatkowe cele obejmują:

• Klienci VPN (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), narzędzia FTP i zdalnego dostępu (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) oraz klienci poczty e-mail, tacy jak Outlook i Thunderbird
• Platformy do gier (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect) oraz poufne pliki przechowywane w folderach Pulpit i Dokumenty
• Skutki: poważne zagrożenia dla prywatności i finansów

Torg działa w tle, gromadząc szeroki wachlarz poufnych informacji bez wiedzy użytkownika. Obejmuje to dane logowania, dane finansowe, pliki osobiste i tokeny dostępu do konta.

Ze względu na szeroki zakres ataków, infekcje mogą prowadzić do poważnych konsekwencji, takich jak kradzież tożsamości, przejęcie kont, straty finansowe i długotrwałe naruszenia prywatności. Zdolność do jednoczesnego atakowania wielu platform czyni go szczególnie destrukcyjnym.

Jak Torg infekuje systemy

Proces infekcji zazwyczaj rozpoczyna się, gdy użytkownicy pobierają i uruchamiają złośliwe pliki podszywające się pod legalne treści. Często obejmują one pirackie oprogramowanie, zhakowane aplikacje, fałszywe instalatory lub kody do gier. Początkowy ładunek, znany jako dropper, potajemnie instaluje w systemie dodatkowe złośliwe komponenty.

Łańcuch ataku obejmuje kilka zaawansowanych etapów:

• Dropper wdraża ukryte złośliwe oprogramowanie, wykorzystując techniki zaciemniania i szyfrowania, aby uniknąć wykrycia
• Złośliwy kod może zostać wykonany bezpośrednio w pamięci, unikając wykrycia na dysku
• Program ładujący przygotowuje system, ukrywając procesy lub wstrzykując kod do legalnych procesów systemu Windows

Na koniec w pamięci wykonywany jest program Torg stealer, rozpoczynając w ten sposób działania mające na celu eksfiltrację danych

ClickFix i inne oszukańcze metody dystrybucji

Oprócz tradycyjnych wektorów infekcji, Torg rozprzestrzenia się również za pomocą techniki znanej jako ClickFix. Metoda ta manipuluje użytkownikami, zmuszając ich do kopiowania i wykonywania złośliwych poleceń, często podszywających się pod legalne instrukcje. Polecenia te to zazwyczaj skrypty programu PowerShell, które po uruchomieniu inicjują proces infekcji i automatycznie pobierają złośliwe oprogramowanie.

W połączeniu z taktyką socjotechniczną i technicznym maskowaniem, metody dystrybucji sprawiają, że Torg jest niezwykle skutecznym i niebezpiecznym zagrożeniem, które w razie wykrycia wymaga natychmiastowej uwagi i usunięcia.