Hoțul Torg
Torg este un malware extrem de periculos, care fură informații, conceput pentru a extrage date sensibile din sistemele infectate și a le transmite infractorilor cibernetici printr-o infrastructură bazată pe API. Este distribuit sub un model Malware-as-a-Service (MaaS), ceea ce îl face accesibil unei game largi de actori amenințători. Odată detectat pe un dispozitiv, eliminarea imediată este esențială pentru a preveni compromiterea ulterioară a datelor.
Cuprins
Capacități extinse de direcționare a browserului
Unul dintre principalele puncte forte ale Torg constă în capacitatea sa de a compromite o gamă largă de browsere web. Acesta vizează în mod specific browserele bazate pe Chromium, cum ar fi Chrome, Edge, Brave și Opera, precum și browserele bazate pe Firefox. În total, poate extrage date din zeci de browsere.
Malware-ul este capabil să acceseze datele de autentificare stocate, inclusiv parolele și cookie-urile salvate. De asemenea, este conceput pentru a ocoli sau decripta mecanismele de securitate ale browserului concepute pentru a proteja aceste informații, făcând chiar și datele securizate vulnerabile la furt.
Exploatarea extensiilor de browser și a suplimentelor sensibile
Torg își extinde semnificativ aria de acoperire vizând extensiile de browser. Este capabil să extragă date din peste 800 de extensii, multe dintre ele fiind asociate cu portofele de criptomonede, inclusiv opțiuni utilizate pe scară largă precum MetaMask și Phantom. În plus, vizează peste 100 de extensii legate de securitate, inclusiv manageri de parole și instrumente de autentificare cu doi factori.
Pe lângă instrumentele financiare, malware-ul colectează și informații din diverse extensii de luare de notițe. Aceste extensii stochează adesea date sensibile ale utilizatorilor, cum ar fi parole, notițe personale și alte informații confidențiale, ceea ce le face ținte valoroase pentru atacatori.
Furtul de portofele cu criptomonede la scară largă
Torg reprezintă o amenințare gravă pentru utilizatorii de criptomonede, vizând atât aplicațiile bazate pe browser, cât și pe cele pentru desktop. Poate extrage date sensibile din portofelele electronice din peste 30 de programe de portofel pentru desktop, inclusiv Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet și WalletWasabi.
Malware-ul este capabil să fure informații extrem de sensibile, cum ar fi datele de tip „seed” ale portofelului, cheile private și datele de sesiune. Acest nivel de acces poate permite atacatorilor să preia controlul deplin asupra activelor criptomonedelor.
Vizarea comunicării, jocurilor și datelor de sistem
Torg își extinde capacitățile de furt de date la o gamă largă de aplicații și servicii. Poate extrage token-uri Discord prin scanarea bazelor de date LevelDB, permițând accesul neautorizat la conturi fără a fi necesare acreditări de conectare. De asemenea, capturează date de sesiune Telegram, acordând potențial acces la sesiunile utilizatorilor activi și fură fișiere de configurare Steam care pot fi utilizate pentru a deturna sau a se asuma drepturi conturi de joc.
Obiectivele suplimentare includ:
- Clienți VPN (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), instrumente FTP și de acces la distanță (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) și clienți de e-mail precum Outlook și Thunderbird
- Platforme de jocuri (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), împreună cu fișiere sensibile stocate în folderele Desktop și Documente
- Impactul: Riscuri severe de confidențialitate și financiare
Torg funcționează silențios în fundal, colectând o gamă largă de informații sensibile fără știrea utilizatorului. Acestea includ credențiale de conectare, date financiare, fișiere personale și token-uri de acces la cont.
Datorită gamei sale largi de țintire, infecțiile pot avea consecințe grave, cum ar fi furtul de identitate, preluarea conturilor, pierderi financiare și încălcări ale confidențialității pe termen lung. Capacitatea sa de a compromite simultan mai multe platforme îl face deosebit de distructiv.
Cum infectează Torg sistemele
Procesul de infectare începe de obicei atunci când utilizatorii descarcă și execută fișiere rău intenționate deghizate în conținut legitim. Acestea includ adesea software piratat, aplicații piratate, programe de instalare false sau cheat-uri pentru jocuri. Sarcina utilă inițială, cunoscută sub numele de dropper, instalează în secret componente rău intenționate suplimentare în sistem.
Lanțul de atac implică mai multe etape sofisticate:
- Dropper-ul implementează programe malware ascunse folosind tehnici de ofuscare și criptare pentru a evita detectarea.
- Codul rău intenționat se poate executa direct în memorie, evitând detectarea pe disc
- Un încărcător pregătește sistemul prin ascunderea proceselor sau injectarea de cod în procese Windows legitime.
În cele din urmă, furtul de date Torg este executat în memorie, începând activitățile sale de exfiltrare a datelor.
ClickFix și alte metode de distribuție înșelătoare
Pe lângă vectorii de infecție tradiționali, Torg se răspândește și printr-o tehnică cunoscută sub numele de ClickFix. Această metodă manipulează utilizatorii pentru a copia și executa comenzi rău intenționate, adesea deghizate în instrucțiuni legitime. Aceste comenzi sunt de obicei scripturi PowerShell care, odată executate, inițiază procesul de infectare și descarcă automat malware-ul.
Combinate cu tactici de inginerie socială și ofuscare tehnică, aceste metode de distribuție fac din Torg o amenințare extrem de eficientă și periculoasă, care necesită atenție imediată și eliminare dacă este detectată.
