بدافزار Torg Grabber با قابلیت سرقت از ۸۵۰ افزونه مرورگر شناسایی شد

کمیته رکن چهارم – یک بدافزار جدید سرقت اطلاعات با نام Torg Grabber شناسایی شده که توانایی استخراج داده از صدها افزونه مرورگر، به‌ویژه کیف پول‌های رمزارزی را دارد.

به گزارش کمیته رکن چهارم، این بدافزار از تکنیک مهندسی اجتماعی ClickFix برای نفوذ اولیه استفاده می‌کند. در این روش، با دستکاری clipboard و فریب کاربر، او به اجرای یک دستور PowerShell مخرب ترغیب می‌شود؛ موضوعی که باعث می‌شود کاربر ناخواسته فرآیند آلودگی را خود آغاز کند.

بررسی‌ها نشان می‌دهد بین ۲۰۲۵-۱۲-۰۱ تا ۲۰۲۶-۰۲-۲۸ بیش از ۳۳۴ نمونه مختلف از این بدافزار توسعه یافته و زیرساخت‌های فرماندهی و کنترل آن نیز به‌صورت مداوم و هفتگی تغییر می‌کنند.

این بدافزار در مدت کوتاهی پیشرفت قابل توجهی داشته و روش‌های ارتباطی آن از Telegram به TCP رمزگذاری‌شده و سپس به HTTPS از طریق Cloudflare تغییر یافته است. همچنین با استفاده از تکنیک‌هایی مانند اجرای در حافظه (fileless)، obfuscation چندلایه، syscalls مستقیم و reflective loading تلاش می‌کند از شناسایی توسط ابزارهای امنیتی جلوگیری کند.

در یکی از به‌روزرسانی‌ها، این بدافزار توانسته مکانیزم Application-Bound Encryption در مرورگرها را دور بزند و به داده‌هایی مانند کوکی‌ها و کلیدهای رمزنگاری دسترسی پیدا کند. همچنین ابزار جانبی دیگری با تزریق DLL قادر به استخراج کلید اصلی مرورگر است.

Torg Grabber اطلاعات طیف گسترده‌ای از اهداف را سرقت می‌کند، از جمله داده‌های ۲۵ مرورگر مبتنی بر Chromium و ۸ مرورگر مبتنی بر Firefox. این اطلاعات شامل رمزهای عبور، کوکی‌ها و داده‌های autofill است.

این بدافزار همچنین قادر به سرقت داده از حدود ۸۵۰ افزونه مرورگر است که بیش از ۷۰۰ مورد از آن‌ها مربوط به کیف پول‌های رمزارزی مانند MetaMask، TrustWallet، Binance و Phantom هستند. علاوه بر این، ابزارهای مدیریت رمز عبور، برنامه‌های احراز هویت دو مرحله‌ای، پیام‌رسان‌ها و سایر نرم‌افزارهای کاربردی نیز در فهرست اهداف آن قرار دارند.

از دیگر قابلیت‌های این بدافزار می‌توان به شناسایی سیستم، جمع‌آوری اطلاعات نرم‌افزارهای نصب‌شده، گرفتن اسکرین‌شات و سرقت فایل‌های کاربر اشاره کرد. همچنین این بدافزار می‌تواند payloadهای جدید را از سرورهای کنترل دریافت کرده، آن‌ها را رمزگشایی و اجرا کند.

پیش‌زمینه

بدافزارهای سرقت اطلاعات در سال‌های اخیر به یکی از تهدیدات اصلی در فضای سایبری تبدیل شده‌اند، به‌ویژه با افزایش استفاده از خدمات آنلاین و کیف پول‌های رمزارزی. در بسیاری از این حملات، مهندسی اجتماعی نقش کلیدی دارد و کاربران با اجرای دستورات مخرب، ناخواسته زمینه نفوذ را فراهم می‌کنند.

منبع: BleepingComputer