Torg Stealer
Torg është një program keqdashës shumë i rrezikshëm për vjedhjen e informacionit, i projektuar për të nxjerrë të dhëna të ndjeshme nga sistemet e infektuara dhe për t'ia transmetuar ato kriminelëve kibernetikë përmes një infrastrukture të bazuar në API. Ai shpërndahet sipas një modeli Malware-as-a-Service (MaaS), duke e bërë të arritshëm për një gamë të gjerë aktorësh kërcënues. Pasi zbulohet në një pajisje, heqja e menjëhershme është thelbësore për të parandaluar kompromentimin e mëtejshëm të të dhënave.
Tabela e Përmbajtjes
Aftësi të gjera të synimit të shfletuesit
Një nga pikat e forta kryesore të Torg qëndron në aftësinë e tij për të kompromentuar një gamë të gjerë shfletuesish interneti. Ai synon posaçërisht shfletuesit e bazuar në Chromium si Chrome, Edge, Brave dhe Opera, si dhe shfletuesit e bazuar në Firefox. Në total, ai mund të nxjerrë të dhëna nga dhjetëra shfletues.
Malware është i aftë të hyjë në kredencialet e ruajtura të hyrjes, duke përfshirë fjalëkalimet dhe cookie-t e ruajtura. Ai është gjithashtu i projektuar për të anashkaluar ose deshifruar mekanizmat e sigurisë së shfletuesit të dizajnuara për të mbrojtur këtë informacion, duke i bërë edhe të dhënat e sigurta të cenueshme ndaj vjedhjes.
Shfrytëzimi i Zgjerimeve të Shfletuesit dhe Shtesave të Ndjeshme
Torg zgjeron ndjeshëm shtrirjen e tij duke synuar zgjerimet e shfletuesit. Ai është i aftë të nxjerrë të dhëna nga më shumë se 800 zgjerime, shumë prej të cilave janë të lidhura me portofolet e kriptomonedhave, duke përfshirë opsione të përdorura gjerësisht si MetaMask dhe Phantom. Përveç kësaj, ai synon mbi 100 zgjerime të lidhura me sigurinë, duke përfshirë menaxherët e fjalëkalimeve dhe mjetet e vërtetimit me dy faktorë.
Përtej mjeteve financiare, programi keqdashës mbledh informacione edhe nga zgjerime të ndryshme të mbajtjes së shënimeve. Këto zgjerime shpesh ruajnë të dhëna të ndjeshme të përdoruesit, të tilla si fjalëkalime, shënime personale dhe informacione të tjera konfidenciale, duke i bërë ato objektiva të vlefshme për sulmuesit.
Vjedhja e Portofolit të Kriptomonedhave në Shkallë të Madhe
Torg përbën një kërcënim serioz për përdoruesit e kriptomonedhave duke synuar aplikacionet e portofoleve të bazuara në shfletues dhe në desktop. Ai mund të nxjerrë të dhëna të ndjeshme të portofoleve nga mbi 30 programe portofole për desktop, duke përfshirë Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet dhe WalletWasabi.
Malware është i aftë të vjedhë informacione shumë të ndjeshme, siç janë "seeds"-et e portofolit, çelësat privatë dhe të dhënat e sesionit. Ky nivel aksesi mund t'u lejojë sulmuesve të marrin kontrollin e plotë të aseteve të kriptomonedhave.
Synimi i të dhënave të komunikimit, lojërave dhe sistemit
Torg zgjeron aftësitë e tij të vjedhjes së të dhënave në një gamë të gjerë aplikacionesh dhe shërbimesh. Ai mund të nxjerrë tokenët Discord duke skanuar bazat e të dhënave LevelDB, duke mundësuar akses të paautorizuar në llogari pa kërkuar kredenciale hyrjeje. Ai gjithashtu kap të dhënat e sesionit të Telegram, duke dhënë potencialisht akses në sesionet aktive të përdoruesve, dhe vjedh skedarët e konfigurimit të Steam që mund të përdoren për të rrëmbyer ose për të imituar llogaritë e lojërave.
Objektivat shtesë përfshijnë:
- Klientë VPN (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP dhe mjete qasjeje në distancë (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) dhe klientë email-i si Outlook dhe Thunderbird
- Platformat e lojërave (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), së bashku me skedarë të ndjeshëm të ruajtur në dosjet Desktop dhe Documents
- Ndikimi: Rreziqe të Rënda për Privatësinë dhe Financat
Torg vepron në heshtje në sfond, duke mbledhur një gamë të gjerë informacionesh të ndjeshme pa dijeninë e përdoruesit. Kjo përfshin kredencialet e hyrjes, të dhënat financiare, skedarët personalë dhe tokenët e hyrjes në llogari.
Për shkak të fushëveprimit të gjerë të shënjestrimit, infeksionet mund të rezultojnë në pasoja serioze, të tilla si vjedhja e identitetit, pushtimi i llogarive, humbjet financiare dhe shkeljet afatgjata të privatësisë. Aftësia e tij për të kompromentuar platforma të shumta njëkohësisht e bën atë veçanërisht shkatërrues.
Si i infekton Torg sistemet
Procesi i infektimit zakonisht fillon kur përdoruesit shkarkojnë dhe ekzekutojnë skedarë dashakeqë të maskuar si përmbajtje legjitime. Këto shpesh përfshijnë softuer të piratuar, aplikacione të hakuara, instalues të rremë ose mashtrime lojërash. Ngarkesa fillestare, e njohur si një dropper, instalon fshehurazi komponentë shtesë dashakeqë në sistem.
Zinxhiri i sulmit përfshin disa faza të sofistikuara:
- Dropper vendos malware të fshehur duke përdorur teknika të errësim dhe enkriptim për të shmangur zbulimin.
- Kodi keqdashës mund të ekzekutohet direkt në memorie, duke shmangur zbulimin në disk.
- Një ngarkues përgatit sistemin duke fshehur proceset ose duke injektuar kod në procese legjitime të Windows.
Më në fund, vjedhësi i Torg ekzekutohet në kujtesë, duke filluar aktivitetet e tij të nxjerrjes së të dhënave.
ClickFix dhe metoda të tjera mashtruese të shpërndarjes
Përveç vektorëve tradicionalë të infeksionit, Torg përhapet edhe përmes një teknike të njohur si ClickFix. Kjo metodë i manipulon përdoruesit që të kopjojnë dhe ekzekutojnë komanda keqdashëse, shpesh të maskuara si udhëzime legjitime. Këto komanda janë zakonisht skripte PowerShell që, pasi ekzekutohen, fillojnë procesin e infeksionit dhe shkarkojnë automatikisht malware-in.
Të kombinuara me taktikat e inxhinierisë sociale dhe errësim teknik, këto metoda shpërndarjeje e bëjnë Torg një kërcënim shumë efektiv dhe të rrezikshëm që kërkon vëmendje dhe heqje të menjëhershme nëse zbulohet.
