Похититель Торгов
Torg — это крайне опасное вредоносное ПО, предназначенное для кражи информации и извлечения конфиденциальных данных из зараженных систем и их передачи киберпреступникам через инфраструктуру на основе API. Оно распространяется по модели «Вредоносное ПО как услуга» (MaaS), что делает его доступным для широкого круга злоумышленников. После обнаружения на устройстве немедленное удаление имеет решающее значение для предотвращения дальнейшей компрометации данных.
Оглавление
Широкие возможности таргетирования по браузерам.
Одно из главных преимуществ Torg заключается в его способности взламывать самые разные веб-браузеры. Он нацелен, в частности, на браузеры на основе Chromium, такие как Chrome, Edge, Brave и Opera, а также на браузеры на основе Firefox. В общей сложности он может извлекать данные из десятков браузеров.
Вредоносная программа способна получить доступ к сохраненным учетным данным для входа в систему, включая сохраненные пароли и файлы cookie. Она также разработана таким образом, чтобы обходить или расшифровывать механизмы безопасности браузера, предназначенные для защиты этой информации, что делает даже защищенные данные уязвимыми для кражи.
Использование уязвимостей в расширениях браузера и конфиденциальных дополнениях.
Torg значительно расширяет свои возможности, ориентируясь на расширения для браузеров. Он способен извлекать данные из более чем 800 расширений, многие из которых связаны с криптовалютными кошельками, включая такие широко используемые варианты, как MetaMask и Phantom. Кроме того, он нацелен на более чем 100 расширений, связанных с безопасностью, включая менеджеры паролей и инструменты двухфакторной аутентификации.
Помимо финансовых инструментов, вредоносная программа также собирает информацию из различных расширений для ведения заметок. Эти расширения часто хранят конфиденциальные данные пользователей, такие как пароли, личные заметки и другую секретную информацию, что делает их ценными целями для злоумышленников.
Крупномасштабные кражи криптовалютных кошельков
Torg представляет серьезную угрозу для пользователей криптовалют, поскольку нацелен как на браузерные, так и на настольные приложения-кошельки. Он может извлекать конфиденциальные данные из более чем 30 настольных программ-кошельков, включая Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet и WalletWasabi.
Вредоносная программа способна красть крайне конфиденциальную информацию, такую как сид-фразы кошельков, закрытые ключи и данные сессий. Такой уровень доступа может позволить злоумышленникам получить полный контроль над криптовалютными активами.
Целенаправленное воздействие на данные о коммуникациях, играх и системах.
Torg расширяет свои возможности по краже данных на широкий спектр приложений и сервисов. Он может извлекать токены Discord, сканируя базы данных LevelDB, что позволяет получать несанкционированный доступ к учетным записям без необходимости ввода учетных данных. Он также перехватывает данные сессий Telegram, потенциально предоставляя доступ к активным пользовательским сессиям, и крадет файлы конфигурации Steam, которые могут быть использованы для взлома или подмены игровых учетных записей.
К дополнительным целям относятся:
- VPN-клиенты (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP-серверы и инструменты удаленного доступа (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP), а также почтовые клиенты, такие как Outlook и Thunderbird.
- Игровые платформы (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), а также конфиденциальные файлы, хранящиеся в папках «Рабочий стол» и «Документы».
- Последствия: Серьезные риски для конфиденциальности и финансовые риски.
Torg работает незаметно в фоновом режиме, собирая широкий спектр конфиденциальной информации без ведома пользователя. Это включает в себя учетные данные для входа в систему, финансовые данные, личные файлы и токены доступа к учетной записи.
Из-за широкого спектра воздействий вредоносные программы могут привести к серьезным последствиям, таким как кража личных данных, захват учетных записей, финансовые потери и долгосрочные нарушения конфиденциальности. Способность программы одновременно компрометировать множество платформ делает ее особенно разрушительной.
Как Торг заражает системы
Процесс заражения обычно начинается с того, что пользователи загружают и запускают вредоносные файлы, замаскированные под легитимный контент. Часто это пиратское программное обеспечение, взломанные приложения, поддельные установщики или читы для игр. Первоначальная полезная нагрузка, известная как дроппер, незаметно устанавливает в систему дополнительные вредоносные компоненты.
Цепочка атаки включает в себя несколько сложных этапов:
- Загрузчик использует скрытое вредоносное ПО, применяя методы обфускации и шифрования для избежания обнаружения.
- Вредоносный код может выполняться непосредственно в памяти, избегая обнаружения на диске.
- Загрузчик подготавливает систему, скрывая процессы или внедряя код в легитимные процессы Windows.
Наконец, программа-похититель Torg запускается в памяти, начиная свою деятельность по извлечению данных.
ClickFix и другие методы обманного распространения
Помимо традиционных путей заражения, Torg также распространяется с помощью метода, известного как ClickFix. Этот метод заставляет пользователей копировать и выполнять вредоносные команды, часто замаскированные под легитимные инструкции. Эти команды обычно представляют собой скрипты PowerShell, которые после выполнения запускают процесс заражения и автоматически загружают вредоносное ПО.
В сочетании с методами социальной инженерии и технической маскировкой эти методы распространения делают Torg крайне эффективной и опасной угрозой, требующей немедленного внимания и устранения в случае обнаружения.
