急速に進化する情報窃取マルウェア「Torg Grabber」は、シンプルな Telegram ベースの流出から、Cloudflare によってサポートされた強化された暗号化 REST API コマンドアンドコントロール(C2)チャネルへシフトしました。
この操作は、Vidar としてタグ付けされていた 747 KB の 64 ビットサンプルが既知の Vidar ビルドと根本的に異なることが判明し、内部デバッグ文字列「grabber v1.0」と ChaCha20 暗号化および HMAC-SHA256 認証を使用するカスタム REST API C2 プロトコルが露出したときに浮上しました。
テレメトリーは、Torg Grabber が迅速に連続した 3 つのデータ流出段階を反復したことを示しています。第 1 段階(2025 年 12 月 9 日~11 日)は Telegram Bot API デッドドロップを使用し、盗まれたデータを zip 化してハードコードされたボットトークンとチャネル ID で識別されるプライベートチャネルに sendDocument 経由で送信し、TLS 以外の最小限の難読化を行いました。
短命の第 2 段階(12 月 17 日~20 日)は、ポート 50443 上の .tara.net.bd へのカスタム ChaCha20-Poly1305 暗号化 TCP プロトコルを試験し、データを 9 バイトのマジック フレーミングされたパケットにラップしていましたが、スケール時の運用上の複雑さのため、わずか 4 つのビルド後にこのアプローチを放棄しました。
レポートによると、約 3 ヶ月間にコンパイルされた 334 サンプルの分析は、明確な系統と一貫した「GRABBER」設定アーティファクトを示し、研究者たちはそれを新しいファミリーである Torg Grabber に分類し、繰り返される C2 ドメイン technologytorg.com にちなんで名付けました。
12 月 18 日以降、ファミリーは HTTPS REST API C2 に標準化し、apiauth および apiuploadchunk などのエンドポイントを使用し、Cloudflare で保護されたドメインを通じて送信される ChaCha20 暗号化ペイロードと HMAC-SHA256 リクエスト認証を使用しました。
登録時に、マルウェアはホスト(ハードウェア ID、GPU、AV 製品、ロケール)の指紋を採取し、設定とオプションの事後搾取シェルコードを受け取ります。その後、HTTPS 経由で暗号化されたチャンクで流出データをストリーミングします。
Torg Grabber マルウェア
Torg Grabber は、コアスティーラーをディスク上から保つマルチステージローダーチェーンを介してデプロイされます。
初期ドロッパーは、フェイクゲームチート、パイレーツインストーラー(例:「Terraria1.4.5.zip」)などのおとりの中に到着し、ランダムなファイル名で C ドライブにポリモルフィックローダーをドロップし、GRABBERHOST および GRABBERTAG などの環境変数を通じてオペレーター固有の設定を伝播します。
MinGW でコンパイルされた自己展開ローダーは、hex デコードして AES-256-CBC で復号化し、NT syscall を直接解決し、最終的な 683 KB PE スティーラーをメモリに反射的にマップするシェルコードをインジェクションし、手動セクションマッピング、リロケーション、およびインポート解決を実行します。
この環境変数中心のモデルにより、単一のコンパイルスティーラーを多くの MaaS カスタマー全体で再利用できます。ビルダーはドロッパーのみをカスタマイズし、異なるオペレーターの実行時構成をインジェクションします。再コンパイルは不要です。
サンプルは一貫して、40 以上のユニークなオペレータータグ(ニックネーム)、日付エンコードされたバッチ ID、および初期 C2 登録で送信される数値を公開し、同じバックエンドを使用する個別のカスタマーを識別します。
アクティブになると、Torg Grabber は少なくとも 25 の Chromium ベースブラウザーと 8 の Firefox ファミリーブラウザーを列挙して盗み、認証情報、クッキー、フォームデータ、30 のデスクトップ暗号通貨ウォレット、VPN 設定、FTP 認証情報、メールクライアント、ゲーミングプラットフォーム、スクリーンショット、インストール済みソフトウェアリスト、デスクトップからのターゲットファイル抜き出しを収穫します。
重要な機能は、20 KB の ChaCha20 暗号化された反射的 DLL であり、ブラウザーの昇格 COM インターフェースを悪用して Chrome の Application Bound Encryption(ABE)をバイパスし、信頼できるブラウザープロセス内から AES-256 マスターキーを復旧します。その後、保護されたログインとクッキーを復号化するために、名前付きパイプを介してそれを返します。
スティーラーには、850 のブラウザー拡張機能(728 の暗号通貨ウォレット、103 のパスワードまたは 2FA 拡張機能を含む)のハードコードされたサポートも含まれています。LevelDB および IndexedDB データと同期設定を取得し、シード、ボルト、TOTP シークレットを抽出します。
一部のキャンペーンでは、さらに Underground と呼ばれる別の認証情報ツールから JSON 出力を拾い、独自の COM ベースの ABE バイパスを使用していました。これは、オペレーターがツールを層化し、Torg Grabber が残りを吸収するよう設計されていることを示しています。
インフラストラクチャ、REST API C2、および MaaS
研究者たちは 12 週間で少なくとも 18 の C2 ドメインをマッピングしました。ほとんどは Cloudflare によって保護され、一貫した TLS および JARM プロファイルを共有し、gogenbydet.cc → bbcplay.top → playbergs.info など、同じ数値オペレータータグで使用される明確なドメインローテーションチェーンがありました。
メインラインが REST API エンドポイントを使用している一方で、quick-neo.com と 50elk.com などのドメイン上のパス apimachineset-files-r にある並列バックエンドは別のマルチパートアップロードプロトコルを実装していますが、同じ GRABBER フレームワークを再利用しており、共通のコードベースの下にモジュラーで交換可能な C2 パネルを示しています。
数値オペレータータグと初期 Telegram 流出チャネルの OSINT は、少なくとも 8 人のカスタマーをロシア語のサイバー犯罪アカウントに結び付けており、複数はカーディングと「ログ」販売を広告し、4 人が Telegram Premium を使用していることから、Torg Grabber がマルウェア・アズ・ア・サービス(MaaS)オファリングとしてビルダーとパネルのコンボで運用されていることが補強されます。
日々の新しいビルド、拡張する C2 インフラストラクチャ、および成熟した暗号化 REST API C2 スタックを使用して、ディフェンダーは TLS インスペクション、疑わしい apiauth/apiuploadchunk スタイルのパスへの REST パターン検出、および環境変数ベースの設定マーカーを優先して、シンプルなドメインブロックリストを超えてこのファミリーを検出する必要があります。
翻訳元: https://gbhackers.com/torg-grabber-malware/
