Викрадач Торгів
Torg — це надзвичайно небезпечне шкідливе програмне забезпечення для крадіжки інформації, призначене для вилучення конфіденційних даних із заражених систем та їх передачі кіберзлочинцям через інфраструктуру на основі API. Воно розповсюджується за моделлю «шкідливе програмне забезпечення як послуга» (MaaS), що робить його доступним для широкого кола зловмисників. Після виявлення на пристрої його негайне видалення є критично важливим для запобігання подальшому викриттю даних.
Зміст
Розширені можливості таргетингу браузера
Одна з головних переваг Torg полягає в його здатності зламувати широкий спектр веббраузерів. Він спеціально націлений на браузери на базі Chromium, такі як Chrome, Edge, Brave та Opera, а також на браузери на базі Firefox. Загалом він може витягувати дані з десятків браузерів.
Це шкідливе програмне забезпечення здатне отримувати доступ до збережених облікових даних для входу, включаючи збережені паролі та файли cookie. Воно також розроблено для обходу або розшифровки механізмів безпеки браузера, призначених для захисту цієї інформації, що робить навіть захищені дані вразливими до крадіжки.
Використання розширень браузера та чутливих доповнень
Torg значно розширює свою діяльність, орієнтуючись на розширення браузера. Він здатний витягувати дані з понад 800 розширень, багато з яких пов'язані з криптовалютними гаманцями, включаючи широко використовувані опції, такі як MetaMask та Phantom. Крім того, він націлений на понад 100 розширень, пов'язаних з безпекою, включаючи менеджери паролів та інструменти двофакторної автентифікації.
Окрім фінансових інструментів, шкідливе програмне забезпечення також збирає інформацію з різних розширень для створення нотаток. Ці розширення часто зберігають конфіденційні дані користувачів, такі як паролі, особисті нотатки та іншу конфіденційну інформацію, що робить їх цінними цілями для зловмисників.
Крадіжка криптовалютних гаманців у великих масштабах
Torg становить серйозну загрозу для користувачів криптовалюти, атакуючи як браузерні, так і настільні програми-гаманці. Він може витягувати конфіденційні дані гаманців з понад 30 програм-гаманців для настільних комп'ютерів, включаючи Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet та WalletWasabi.
Шкідливе програмне забезпечення здатне красти дуже конфіденційну інформацію, таку як насіння гаманців, приватні ключі та дані сеансу. Такий рівень доступу може дозволити зловмисникам отримати повний контроль над криптовалютними активами.
Орієнтація на комунікацію, ігри та системні дані
Torg розширює свої можливості крадіжки даних на широкий спектр програм і сервісів. Він може витягувати токени Discord, скануючи бази даних LevelDB, що дозволяє несанкціонований доступ до облікових записів без необхідності введення даних для входу. Він також захоплює дані сеансів Telegram, потенційно надаючи доступ до активних сеансів користувачів, і викрадає файли конфігурації Steam, які можуть бути використані для захоплення або імітації ігрових облікових записів.
Додаткові цілі включають:
- VPN-клієнти (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), інструменти FTP та віддаленого доступу (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) та поштові клієнти, такі як Outlook та Thunderbird
- Ігрові платформи (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), а також конфіденційні файли, що зберігаються в папках «Робочий стіл» і «Документи».
- Вплив: Серйозні ризики для конфіденційності та фінансові ризики
Torg працює непомітно у фоновому режимі, збираючи широкий спектр конфіденційної інформації без відома користувача. Це включає облікові дані для входу, фінансові дані, особисті файли та токени доступу до облікового запису.
Через широкий охоплення, зараження можуть призвести до серйозних наслідків, таких як крадіжка особистих даних, захоплення облікових записів, фінансові втрати та довгострокові порушення конфіденційності. Його здатність одночасно компрометувати кілька платформ робить його особливо руйнівним.
Як Torg заражає системи
Процес зараження зазвичай починається, коли користувачі завантажують та запускають шкідливі файли, замасковані під легітимний контент. До них часто належать піратське програмне забезпечення, зламані програми, фальшиві інсталятори або ігрові чіти. Початкове корисне навантаження, відоме як дроппер, таємно встановлює додаткові шкідливі компоненти в систему.
Ланцюг атаки включає кілька складних етапів:
- Дроппер розгортає приховане шкідливе програмне забезпечення, використовуючи методи обфускації та шифрування, щоб уникнути виявлення.
- Шкідливий код може виконуватися безпосередньо в пам'яті, уникаючи виявлення на диску
- Завантажувач готує систему, приховуючи процеси або вставляючи код у легітимні процеси Windows.
Зрештою, викрадач Torg виконується в пам'яті, починаючи свою діяльність з вилучення даних.
ClickFix та інші шахрайські методи розповсюдження
Окрім традиційних векторів зараження, Torg також поширюється за допомогою техніки, відомої як ClickFix. Цей метод маніпулює користувачами, змушуючи їх копіювати та виконувати шкідливі команди, часто замасковані під легітимні інструкції. Ці команди зазвичай є скриптами PowerShell, які після виконання ініціюють процес зараження та автоматично завантажують шкідливе програмне забезпечення.
У поєднанні з тактикою соціальної інженерії та технічним заплутуванням, ці методи розповсюдження роблять Torg високоефективною та небезпечною загрозою, яка вимагає негайної уваги та видалення у разі виявлення.
