Torg Stealer
Torg 是一种极其危险的信息窃取恶意软件,旨在从受感染的系统中提取敏感数据,并通过基于 API 的基础设施将其传输给网络犯罪分子。它以恶意软件即服务 (MaaS) 模式分发,因此可供众多威胁行为者使用。一旦在设备上检测到 Torg,必须立即将其清除,以防止数据进一步泄露。
目录
强大的浏览器定向功能
Torg 的主要优势之一在于其能够入侵多种网络浏览器。它尤其针对基于 Chromium 内核的浏览器,例如 Chrome、Edge、Brave 和 Opera,以及基于 Firefox 内核的浏览器。总而言之,它可以从数十种浏览器中提取数据。
该恶意软件能够访问已存储的登录凭证,包括已保存的密码和 Cookie。它还被设计成绕过或解密浏览器旨在保护这些信息的安全机制,使得即使是安全的数据也容易被窃取。
利用浏览器扩展程序和敏感插件
Torg 通过瞄准浏览器扩展程序,显著扩大了其覆盖范围。它能够从 800 多个扩展程序中提取数据,其中许多与加密货币钱包相关,包括 MetaMask 和 Phantom 等常用钱包。此外,它还针对 100 多个安全相关的扩展程序,包括密码管理器和双因素身份验证工具。
除了金融工具外,该恶意软件还会从各种笔记扩展程序中窃取信息。这些扩展程序通常会存储敏感的用户数据,例如密码、个人笔记和其他机密信息,因此对攻击者来说极具价值。
大规模加密货币钱包盗窃案
Torg 通过攻击基于浏览器和桌面的钱包应用程序,对加密货币用户构成严重威胁。它可以从 30 多个桌面钱包程序中提取敏感的钱包数据,包括 Atomic、AtomicDEX、Bitcoin Core、Daedalus、Electrum、Ethereum、Exodus、Monero、MyEtherWallet 和 WalletWasabi。
该恶意软件能够窃取高度敏感的信息,例如钱包种子、私钥和会话数据。这种级别的访问权限可能使攻击者完全控制加密货币资产。
针对通信、游戏和系统数据
Torg 的数据窃取能力扩展到多种应用程序和服务。它可以通过扫描 LevelDB 数据库提取 Discord 令牌,从而无需登录凭据即可非法访问帐户。它还能捕获 Telegram 会话数据,从而可能访问活跃用户会话,并窃取 Steam 配置文件,这些文件可能被用于劫持或冒充游戏帐户。
其他目标包括:
- VPN客户端(ExpressVPN、NordVPN、OpenVPN、PIA、ProtonVPN、Surfshark、WireGuard、Windscribe)、FTP和远程访问工具(FileZilla、mRemoteNG、MobaXterm、Total Commander、WinSCP)以及电子邮件客户端,例如Outlook和Thunderbird。
- 游戏平台(Battle.net、GOG Galaxy、Minecraft、Origin/EA、Rockstar Games、Ubisoft Connect)以及存储在桌面和文档文件夹中的敏感文件
- 影响:严重的隐私和财务风险
Torg 在后台静默运行,在用户不知情的情况下收集各种敏感信息,包括登录凭证、财务数据、个人文件和账户访问令牌。
由于其攻击范围广泛,感染可能导致严重的后果,例如身份盗窃、账户被盗用、经济损失和长期隐私泄露。它能够同时入侵多个平台,使其破坏性尤为严重。
Torg如何感染系统
感染过程通常始于用户下载并执行伪装成合法内容的恶意文件。这些文件通常包括盗版软件、破解应用程序、虚假安装程序或游戏作弊程序。初始有效载荷(称为投放器)会秘密地将其他恶意组件安装到系统中。
攻击链包含多个复杂的阶段:
- 该投放器利用混淆和加密技术部署隐藏的恶意软件,以逃避检测。
- 恶意代码可以直接在内存中执行,从而绕过基于磁盘的检测。
- 加载器通过隐藏进程或向合法的 Windows 进程注入代码来准备系统。
最后,Torg窃取程序在内存中执行,开始其数据窃取活动。
ClickFix 和其他欺骗性分发方法
除了传统的感染途径外,Torg 还通过一种名为 ClickFix 的技术传播。这种方法诱骗用户复制并执行恶意命令,这些命令通常伪装成合法指令。这些命令通常是 PowerShell 脚本,一旦执行,就会启动感染过程并自动下载恶意软件。
结合社会工程策略和技术混淆,这些传播方式使 Torg 成为一种高效且危险的威胁,一旦发现就需要立即关注和清除。
