Torg สตีลเลอร์
Torg เป็นมัลแวร์ขโมยข้อมูลอันตรายสูง ออกแบบมาเพื่อดึงข้อมูลสำคัญจากระบบที่ติดเชื้อและส่งต่อไปยังอาชญากรไซเบอร์ผ่านโครงสร้างพื้นฐานแบบ API มันถูกเผยแพร่ในรูปแบบ Malware-as-a-Service (MaaS) ทำให้ผู้คุกคามหลากหลายกลุ่มสามารถเข้าถึงได้ เมื่อตรวจพบในอุปกรณ์แล้ว การกำจัดทันทีเป็นสิ่งสำคัญอย่างยิ่งเพื่อป้องกันการรั่วไหลของข้อมูลเพิ่มเติม
สารบัญ
ความสามารถในการกำหนดเป้าหมายเบราว์เซอร์อย่างครอบคลุม
จุดแข็งสำคัญอย่างหนึ่งของ Torg คือความสามารถในการเจาะระบบเว็บเบราว์เซอร์ได้หลากหลายประเภท โดยเฉพาะอย่างยิ่งเบราว์เซอร์ที่ใช้ Chromium เป็นพื้นฐาน เช่น Chrome, Edge, Brave และ Opera รวมถึงเบราว์เซอร์ที่ใช้ Firefox เป็นพื้นฐาน โดยรวมแล้วสามารถดึงข้อมูลจากเบราว์เซอร์ได้หลายสิบประเภท
มัลแวร์นี้สามารถเข้าถึงข้อมูลประจำตัวการเข้าสู่ระบบที่จัดเก็บไว้ รวมถึงรหัสผ่านและคุกกี้ นอกจากนี้ยังได้รับการออกแบบมาเพื่อหลีกเลี่ยงหรือถอดรหัสกลไกความปลอดภัยของเบราว์เซอร์ที่ออกแบบมาเพื่อปกป้องข้อมูลเหล่านี้ ทำให้แม้แต่ข้อมูลที่ได้รับการรักษาความปลอดภัยอย่างดีก็เสี่ยงต่อการถูกขโมยได้
การใช้ประโยชน์จากส่วนขยายเบราว์เซอร์และส่วนเสริมที่มีข้อมูลสำคัญ
Torg ขยายขอบเขตการทำงานอย่างมากโดยมุ่งเป้าไปที่ส่วนขยายของเบราว์เซอร์ มันสามารถดึงข้อมูลจากส่วนขยายมากกว่า 800 รายการ ซึ่งหลายรายการเกี่ยวข้องกับกระเป๋าเงินดิจิทัล รวมถึงตัวเลือกที่ใช้กันอย่างแพร่หลาย เช่น MetaMask และ Phantom นอกจากนี้ยังมุ่งเป้าไปที่ส่วนขยายที่เกี่ยวข้องกับความปลอดภัยมากกว่า 100 รายการ รวมถึงโปรแกรมจัดการรหัสผ่านและเครื่องมือยืนยันตัวตนสองขั้นตอน
นอกเหนือจากเครื่องมือทางการเงินแล้ว มัลแวร์ยังเก็บรวบรวมข้อมูลจากส่วนขยายจดบันทึกต่างๆ อีกด้วย ส่วนขยายเหล่านี้มักจัดเก็บข้อมูลผู้ใช้ที่ละเอียดอ่อน เช่น รหัสผ่าน บันทึกส่วนตัว และข้อมูลลับอื่นๆ ทำให้ส่วนขยายเหล่านี้เป็นเป้าหมายที่มีค่าสำหรับผู้โจมตี
การโจรกรรมกระเป๋าเงินคริปโตเคอร์เรนซีในวงกว้าง
Torg เป็นภัยคุกคามร้ายแรงต่อผู้ใช้สกุลเงินดิจิทัล โดยมุ่งเป้าไปที่แอปพลิเคชันกระเป๋าเงินดิจิทัลทั้งบนเว็บเบราว์เซอร์และบนเดสก์ท็อป มันสามารถดึงข้อมูลกระเป๋าเงินดิจิทัลที่สำคัญจากโปรแกรมกระเป๋าเงินดิจิทัลบนเดสก์ท็อปมากกว่า 30 โปรแกรม รวมถึง Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet และ WalletWasabi
มัลแวร์นี้สามารถขโมยข้อมูลที่ละเอียดอ่อนมาก เช่น รหัสเริ่มต้นของกระเป๋าเงินดิจิทัล กุญแจส่วนตัว และข้อมูลเซสชัน การเข้าถึงในระดับนี้จะทำให้ผู้โจมตีสามารถควบคุมสินทรัพย์คริปโตเคอร์เรนซีได้อย่างสมบูรณ์
การกำหนดเป้าหมายด้านการสื่อสาร เกม และข้อมูลระบบ
Torg ขยายขีดความสามารถในการขโมยข้อมูลไปยังแอปพลิเคชันและบริการต่างๆ อย่างกว้างขวาง มันสามารถดึงโทเค็นของ Discord โดยการสแกนฐานข้อมูล LevelDB ทำให้สามารถเข้าถึงบัญชีโดยไม่ได้รับอนุญาตโดยไม่ต้องใช้ข้อมูลประจำตัวในการเข้าสู่ระบบ นอกจากนี้ยังสามารถดักจับข้อมูลเซสชันของ Telegram ซึ่งอาจทำให้เข้าถึงเซสชันของผู้ใช้ที่กำลังใช้งานอยู่ได้ และขโมยไฟล์การกำหนดค่าของ Steam ซึ่งอาจนำไปใช้ในการแฮ็กหรือปลอมแปลงบัญชีเกมได้
เป้าหมายเพิ่มเติมได้แก่:
- โปรแกรม VPN (เช่น ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), โปรแกรม FTP และโปรแกรมเข้าถึงระยะไกล (เช่น FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) และโปรแกรมอีเมล เช่น Outlook และ Thunderbird
- แพลตฟอร์มเกม (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect) รวมถึงไฟล์สำคัญที่จัดเก็บไว้ในโฟลเดอร์ Desktop และ Documents
- ผลกระทบ: ความเสี่ยงด้านความเป็นส่วนตัวและทางการเงินอย่างร้ายแรง
Torg ทำงานอย่างเงียบๆ ในเบื้องหลัง โดยรวบรวมข้อมูลสำคัญมากมายโดยที่ผู้ใช้ไม่รู้ตัว ซึ่งรวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลทางการเงิน ไฟล์ส่วนบุคคล และโทเค็นการเข้าถึงบัญชี
เนื่องจากไวรัสนี้มีขอบเขตการโจมตีที่กว้างขวาง จึงอาจส่งผลร้ายแรง เช่น การขโมยข้อมูลส่วนบุคคล การยึดบัญชี การสูญเสียทางการเงิน และการละเมิดความเป็นส่วนตัวในระยะยาว ความสามารถในการโจมตีหลายแพลตฟอร์มพร้อมกันทำให้มันเป็นอันตรายอย่างยิ่ง
Torg แพร่เชื้อเข้าสู่ระบบได้อย่างไร
กระบวนการติดเชื้อโดยทั่วไปจะเริ่มต้นเมื่อผู้ใช้ดาวน์โหลดและเรียกใช้ไฟล์ที่เป็นอันตรายซึ่งปลอมแปลงเป็นเนื้อหาที่ถูกต้องตามกฎหมาย ซึ่งมักจะรวมถึงซอฟต์แวร์ละเมิดลิขสิทธิ์ แอปพลิเคชันที่ถูกแคร็ก โปรแกรมติดตั้งปลอม หรือโปรแกรมโกงเกม ส่วนประกอบที่เป็นอันตรายตัวแรกที่เรียกว่า "ดรอปเปอร์" จะแอบติดตั้งส่วนประกอบที่เป็นอันตรายเพิ่มเติมลงในระบบ
กระบวนการโจมตีประกอบด้วยหลายขั้นตอนที่ซับซ้อน:
- โปรแกรมปล่อยมัลแวร์จะติดตั้งมัลแวร์ที่ซ่อนไว้โดยใช้เทคนิคการปกปิดและการเข้ารหัสเพื่อหลีกเลี่ยงการตรวจจับ
- โค้ดที่เป็นอันตรายอาจทำงานโดยตรงในหน่วยความจำ ทำให้หลีกเลี่ยงการตรวจจับจากดิสก์ได้
- โปรแกรมโหลดเดอร์จะเตรียมระบบโดยการซ่อนกระบวนการหรือแทรกโค้ดเข้าไปในกระบวนการของ Windows ที่ถูกต้องตามกฎหมาย
ในที่สุด โปรแกรมขโมยข้อมูล Torg ก็ถูกเรียกใช้งานในหน่วยความจำ เริ่มดำเนินการขโมยข้อมูล
ClickFix และวิธีการเผยแพร่หลอกลวงอื่นๆ
นอกเหนือจากวิธีการติดเชื้อแบบดั้งเดิมแล้ว Torg ยังแพร่กระจายผ่านเทคนิคที่เรียกว่า ClickFix อีกด้วย วิธีนี้จะหลอกล่อให้ผู้ใช้คัดลอกและเรียกใช้คำสั่งที่เป็นอันตราย ซึ่งมักจะปลอมแปลงเป็นคำสั่งที่ถูกต้อง คำสั่งเหล่านี้มักจะเป็นสคริปต์ PowerShell ซึ่งเมื่อเรียกใช้แล้วจะเริ่มกระบวนการติดเชื้อและดาวน์โหลดมัลแวร์โดยอัตโนมัติ
เมื่อผนวกรวมกับกลยุทธ์ทางสังคมและการปกปิดข้อมูลทางเทคนิค วิธีการเผยแพร่เหล่านี้ทำให้ Torg เป็นภัยคุกคามที่มีประสิทธิภาพและอันตรายอย่างยิ่ง ซึ่งจำเป็นต้องได้รับการแก้ไขและกำจัดโดยทันทีหากตรวจพบ
