Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Torg Stealer

Torg Stealer

Med Mezo år Skadlig programvara, Stjälare
Översätt till:

Torg är en mycket farlig informationsstöldande skadlig kod som är utformad för att extrahera känslig data från infekterade system och överföra den till cyberbrottslingar via en API-baserad infrastruktur. Den distribueras under en Malware-as-a-Service (MaaS)-modell, vilket gör den tillgänglig för en mängd olika hotaktörer. När den väl upptäckts på en enhet är omedelbar borttagning avgörande för att förhindra ytterligare datakompromettering.

Omfattande webbläsarinriktningsfunktioner

En av Torgs främsta styrkor ligger i dess förmåga att kompromettera en mängd olika webbläsare. Den riktar sig specifikt mot Chromium-baserade webbläsare som Chrome, Edge, Brave och Opera, såväl som Firefox-baserade webbläsare. Totalt kan den extrahera data från dussintals webbläsare.

Den skadliga programvaran kan komma åt lagrade inloggningsuppgifter, inklusive sparade lösenord och cookies. Den är också konstruerad för att kringgå eller dekryptera webbläsarens säkerhetsmekanismer som är utformade för att skydda denna information, vilket gör även säkra data sårbara för stöld.

Utnyttjande av webbläsartillägg och känsliga tillägg

Torg utökar sin räckvidd avsevärt genom att rikta in sig på webbläsartillägg. Den kan extrahera data från mer än 800 tillägg, varav många är kopplade till kryptovalutaplånböcker, inklusive allmänt använda alternativ som MetaMask och Phantom. Dessutom riktar den in sig på över 100 säkerhetsrelaterade tillägg, inklusive lösenordshanterare och verktyg för tvåfaktorsautentisering.

Utöver finansiella verktyg samlar den skadliga programvaran även in information från olika anteckningstillägg. Dessa tillägg lagrar ofta känsliga användardata som lösenord, personliga anteckningar och annan konfidentiell information, vilket gör dem till värdefulla mål för angripare.

Stöld av kryptovalutaplånböcker i stor skala

Torg utgör ett allvarligt hot mot kryptovalutaanvändare genom att rikta in sig på både webbläsarbaserade och stationära plånboksapplikationer. Den kan extrahera känslig plånboksdata från över 30 stationära plånboksprogram, inklusive Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet och WalletWasabi.

Skadlig programvara kan stjäla mycket känslig information såsom plånboksfrön, privata nycklar och sessionsdata. Denna åtkomstnivå kan ge angripare full kontroll över kryptovalutatillgångar.

Inriktning på kommunikation, spel och systemdata

Torg utökar sina möjligheter till datastöld till ett brett utbud av applikationer och tjänster. Den kan extrahera Discord-tokens genom att skanna LevelDB-databaser, vilket möjliggör obehörig åtkomst till konton utan att kräva inloggningsuppgifter. Den samlar också in Telegram-sessionsdata, vilket potentiellt ger åtkomst till aktiva användarsessioner, och stjäl Steam-konfigurationsfiler som kan användas för att kapa eller utge sig för att vara spelkonton.

Ytterligare mål inkluderar:

  • VPN-klienter (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP- och fjärråtkomstverktyg (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) och e-postklienter som Outlook och Thunderbird
  • Spelplattformar (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), tillsammans med känsliga filer lagrade i mapparna Skrivbord och Dokument
  • Konsekvenserna: Allvarliga integritets- och ekonomiska risker

Torg arbetar tyst i bakgrunden och samlar in en mängd känslig information utan användarens vetskap. Detta inkluderar inloggningsuppgifter, finansiell information, personliga filer och kontoåtkomsttokens.

På grund av dess breda målgrupp kan infektioner leda till allvarliga konsekvenser såsom identitetsstöld, kontoövertaganden, ekonomiska förluster och långsiktiga integritetsintrång. Dess förmåga att kompromettera flera plattformar samtidigt gör den särskilt destruktiv.

Hur Torg infekterar system

Infektionsprocessen börjar vanligtvis när användare laddar ner och kör skadliga filer förklädda till legitimt innehåll. Dessa inkluderar ofta piratkopierad programvara, spruckna applikationer, falska installationsprogram eller spelfusk. Den initiala nyttolasten, känd som en dropper, installerar i hemlighet ytterligare skadliga komponenter på systemet.

Attackkedjan omfattar flera sofistikerade steg:

  • Droppern distribuerar dold skadlig kod med hjälp av obfuskerings- och krypteringstekniker för att undvika upptäckt
  • Skadlig kod kan köras direkt i minnet och undvika diskbaserad detektering
  • En laddare förbereder systemet genom att dölja processer eller injicera kod i legitima Windows-processer.

Slutligen exekveras Torg-stjälaren i minnet, vilket påbörjar sina dataexfiltreringsaktiviteter.

ClickFix och andra vilseledande distributionsmetoder

Förutom traditionella infektionsvektorer sprids Torg även genom en teknik som kallas ClickFix. Denna metod manipulerar användare att kopiera och köra skadliga kommandon, ofta förklädda som legitima instruktioner. Dessa kommandon är vanligtvis PowerShell-skript som, när de körs, startar infektionsprocessen och laddar ner skadlig programvara automatiskt.

I kombination med social ingenjörskonst och teknisk förvirring gör dessa distributionsmetoder Torg till ett mycket effektivt och farligt hot som kräver omedelbar uppmärksamhet och borttagning om det upptäcks.


Trendigt

Mest sedda

Läser in...