Kẻ trộm Torg
Torg là một phần mềm độc hại đánh cắp thông tin cực kỳ nguy hiểm, được thiết kế để trích xuất dữ liệu nhạy cảm từ các hệ thống bị nhiễm và truyền tải chúng cho tội phạm mạng thông qua cơ sở hạ tầng dựa trên API. Nó được phân phối theo mô hình Phần mềm độc hại dưới dạng dịch vụ (MaaS), khiến nó dễ dàng tiếp cận với nhiều đối tượng gây hại. Sau khi được phát hiện trên thiết bị, việc loại bỏ ngay lập tức là rất quan trọng để ngăn chặn việc dữ liệu bị xâm phạm thêm.
Mục lục
Khả năng nhắm mục tiêu trình duyệt mở rộng
Một trong những điểm mạnh chính của Torg nằm ở khả năng xâm nhập nhiều loại trình duyệt web khác nhau. Nó nhắm mục tiêu cụ thể vào các trình duyệt dựa trên Chromium như Chrome, Edge, Brave và Opera, cũng như các trình duyệt dựa trên Firefox. Tổng cộng, nó có thể trích xuất dữ liệu từ hàng chục trình duyệt.
Phần mềm độc hại này có khả năng truy cập thông tin đăng nhập đã lưu trữ, bao gồm mật khẩu và cookie. Nó cũng được thiết kế để vượt qua hoặc giải mã các cơ chế bảo mật của trình duyệt được thiết kế để bảo vệ thông tin này, khiến ngay cả dữ liệu được bảo mật cũng dễ bị đánh cắp.
Khai thác lỗ hổng bảo mật trong các tiện ích mở rộng trình duyệt và các tiện ích bổ sung nhạy cảm.
Torg mở rộng đáng kể phạm vi hoạt động bằng cách nhắm mục tiêu vào các tiện ích mở rộng trình duyệt. Nó có khả năng trích xuất dữ liệu từ hơn 800 tiện ích mở rộng, nhiều trong số đó liên quan đến ví tiền điện tử, bao gồm các tùy chọn phổ biến như MetaMask và Phantom. Ngoài ra, nó còn nhắm mục tiêu vào hơn 100 tiện ích mở rộng liên quan đến bảo mật, bao gồm trình quản lý mật khẩu và công cụ xác thực hai yếu tố.
Ngoài các công cụ tài chính, phần mềm độc hại này còn thu thập thông tin từ nhiều tiện ích ghi chú khác nhau. Các tiện ích này thường lưu trữ dữ liệu nhạy cảm của người dùng như mật khẩu, ghi chú cá nhân và các thông tin bí mật khác, khiến chúng trở thành mục tiêu hấp dẫn đối với kẻ tấn công.
Trộm cắp ví tiền điện tử trên quy mô lớn
Torg gây ra mối đe dọa nghiêm trọng cho người dùng tiền điện tử bằng cách nhắm mục tiêu vào cả các ứng dụng ví trên trình duyệt và máy tính để bàn. Nó có thể trích xuất dữ liệu ví nhạy cảm từ hơn 30 chương trình ví trên máy tính để bàn, bao gồm Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet và WalletWasabi.
Phần mềm độc hại này có khả năng đánh cắp các thông tin nhạy cảm cao như cụm từ khôi phục ví, khóa riêng tư và dữ liệu phiên. Mức độ truy cập này cho phép kẻ tấn công kiểm soát hoàn toàn tài sản tiền điện tử.
Nhắm mục tiêu vào Truyền thông, Trò chơi và Dữ liệu Hệ thống
Torg mở rộng khả năng đánh cắp dữ liệu của mình sang nhiều ứng dụng và dịch vụ khác nhau. Nó có thể trích xuất mã thông báo Discord bằng cách quét cơ sở dữ liệu LevelDB, cho phép truy cập trái phép vào tài khoản mà không cần thông tin đăng nhập. Nó cũng thu thập dữ liệu phiên Telegram, có khả năng cấp quyền truy cập vào các phiên người dùng đang hoạt động, và đánh cắp các tệp cấu hình Steam có thể được sử dụng để chiếm đoạt hoặc mạo danh tài khoản trò chơi.
Các mục tiêu bổ sung bao gồm:
- Các phần mềm VPN (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), các công cụ FTP và truy cập từ xa (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP), và các phần mềm email như Outlook và Thunderbird.
- Các nền tảng trò chơi (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), cùng với các tệp tin nhạy cảm được lưu trữ trong thư mục Desktop và Documents.
- Hậu quả: Rủi ro nghiêm trọng về quyền riêng tư và tài chính
Torg hoạt động âm thầm trong nền, thu thập nhiều thông tin nhạy cảm mà người dùng không hề hay biết. Điều này bao gồm thông tin đăng nhập, dữ liệu tài chính, tệp cá nhân và mã truy cập tài khoản.
Do phạm vi tấn công rộng, các phần mềm độc hại này có thể gây ra những hậu quả nghiêm trọng như đánh cắp danh tính, chiếm đoạt tài khoản, thiệt hại tài chính và vi phạm quyền riêng tư lâu dài. Khả năng xâm nhập nhiều nền tảng cùng lúc khiến nó trở nên đặc biệt nguy hiểm.
Cách Torg lây nhiễm vào các hệ thống
Quá trình lây nhiễm thường bắt đầu khi người dùng tải xuống và thực thi các tệp độc hại được ngụy trang thành nội dung hợp pháp. Chúng thường bao gồm phần mềm lậu, ứng dụng bẻ khóa, trình cài đặt giả mạo hoặc mã gian lận trò chơi. Phần mềm độc hại ban đầu, được gọi là dropper, sẽ bí mật cài đặt thêm các thành phần độc hại khác vào hệ thống.
Chuỗi tấn công bao gồm nhiều giai đoạn phức tạp:
- Phần mềm độc hại này triển khai mã độc ẩn bằng cách sử dụng các kỹ thuật che giấu và mã hóa để tránh bị phát hiện.
- Mã độc có thể được thực thi trực tiếp trong bộ nhớ, tránh bị phát hiện trên ổ đĩa.
- Trình nạp chuẩn bị hệ thống bằng cách ẩn các tiến trình hoặc chèn mã vào các tiến trình Windows hợp pháp.
Cuối cùng, chương trình Torg stealer được thực thi trong bộ nhớ, bắt đầu các hoạt động đánh cắp dữ liệu của nó.
ClickFix và các phương thức phân phối lừa đảo khác
Ngoài các phương thức lây nhiễm truyền thống, Torg còn lây lan qua một kỹ thuật gọi là ClickFix. Phương pháp này thao túng người dùng sao chép và thực thi các lệnh độc hại, thường được ngụy trang dưới dạng các hướng dẫn hợp pháp. Các lệnh này thường là các tập lệnh PowerShell, sau khi được thực thi, sẽ khởi động quá trình lây nhiễm và tự động tải xuống phần mềm độc hại.
Kết hợp với các chiến thuật thao túng tâm lý và che giấu kỹ thuật, các phương pháp phân phối này khiến Torg trở thành một mối đe dọa cực kỳ hiệu quả và nguy hiểm, đòi hỏi sự chú ý và loại bỏ ngay lập tức nếu bị phát hiện.
