Torg Stealer
Torg 是一種極其危險的資訊竊取惡意軟體,旨在從受感染的系統中提取敏感數據,並透過基於 API 的基礎設施將其傳輸給網路犯罪分子。它以惡意軟體即服務 (MaaS) 模式分發,因此可供眾多威脅行為者使用。一旦在設備上偵測到 Torg,必須立即將其清除,以防止資料進一步外洩。
目錄
強大的瀏覽器定向功能
Torg 的主要優勢之一在於其能夠入侵多種網頁瀏覽器。它特別針對基於 Chromium 核心的瀏覽器,例如 Chrome、Edge、Brave 和 Opera,以及基於 Firefox 核心的瀏覽器。總而言之,它可以從數十種瀏覽器中提取資料。
該惡意軟體能夠存取已儲存的登入憑證,包括已儲存的密碼和 Cookie。它也被設計成繞過或解密瀏覽器旨在保護這些資訊的安全機制,使得即使是安全的資料也容易被竊取。
利用瀏覽器擴充功能和敏感插件
Torg 透過瞄準瀏覽器擴充程序,顯著擴大了其覆蓋範圍。它能夠從 800 多個擴充功能中提取數據,其中許多與加密貨幣錢包相關,包括 MetaMask 和 Phantom 等常用錢包。此外,它還針對 100 多個安全性相關的擴充程序,包括密碼管理器和雙重認證工具。
除了金融工具外,該惡意軟體還會從各種筆記擴充功能中竊取資訊。這些擴充功能通常會儲存敏感的用戶數據,例如密碼、個人筆記和其他機密訊息,因此對攻擊者來說極具價值。
大規模加密貨幣錢包竊盜案
Torg 透過攻擊基於瀏覽器和桌面的錢包應用程序,對加密貨幣用戶構成嚴重威脅。它可以從 30 多個桌面錢包程式中提取敏感的錢包數據,包括 Atomic、AtomicDEX、Bitcoin Core、Daedalus、Electrum、Ethereum、Exodus、Monero、MyEtherWallet 和 WalletWasabi。
該惡意軟體能夠竊取高度敏感的訊息,例如錢包種子、私鑰和會話資料。這種級別的存取權限可能使攻擊者完全控制加密貨幣資產。
針對通訊、遊戲和系統數據
Torg 的資料竊取能力擴展到多種應用程式和服務。它可以透過掃描 LevelDB 資料庫提取 Discord 令牌,從而無需登入憑證即可非法存取帳戶。它還能捕獲 Telegram 會話數據,從而可能訪問活躍用戶會話,並竊取 Steam 配置文件,這些文件可能被用於劫持或冒充遊戲帳戶。
其他目標包括:
- VPN用戶端(ExpressVPN、NordVPN、OpenVPN、PIA、ProtonVPN、Surfshark、WireGuard、Windscribe)、FTP和遠端存取工具(FileZilla、mRemoteNG、MobaXterm、Total Commander、WinSCP)以及電子郵件用戶端,例如Outlook和Thunderbird。
- 遊戲平台(Battle.net、GOG Galaxy、Minecraft、Origin/EA、Rockstar Games、Ubisoft Connect)以及儲存在桌面和文件資料夾中的敏感文件
- 影響:嚴重的隱私和財務風險
Torg 在後台靜默運行,在用戶不知情的情況下收集各種敏感信息,包括登入憑證、財務數據、個人文件和帳戶存取權杖。
由於其攻擊範圍廣泛,感染可能導致嚴重的後果,例如身分盜竊、帳戶被盜用、經濟損失和長期隱私洩露。它能夠同時入侵多個平台,使其破壞性尤為嚴重。
Torg如何感染系統
感染過程通常始於使用者下載並執行偽裝成合法內容的惡意檔案。這些文件通常包括盜版軟體、破解應用程式、虛假安裝程式或遊戲作弊程式。初始有效載荷(稱為投放器)會秘密地將其他惡意元件安裝到系統中。
攻擊鏈包含多個複雜的階段:
- 該投放器利用混淆和加密技術部署隱藏的惡意軟體,以逃避偵測。
- 惡意程式碼可以直接在記憶體中執行,從而繞過基於磁碟的偵測。
- 載入器透過隱藏進程或向合法的 Windows 進程注入程式碼來準備系統。
最後,Torg竊取程式在記憶體中執行,開始其資料竊取活動。
ClickFix 和其他欺騙性分發方法
除了傳統的感染途徑外,Torg 還透過一種名為 ClickFix 的技術傳播。這種方法誘騙使用者複製並執行惡意命令,這些命令通常偽裝成合法指令。這些命令通常是 PowerShell 腳本,一旦執行,就會啟動感染過程並自動下載惡意軟體。
結合社會工程策略和技術混淆,這些傳播方式使 Torg 成為一種高效且危險的威脅,一旦發現就需要立即關注和清除。
