セキュリティ研究者は、Torg Grabberという高度な情報盗聴マルウェアを発見しました。このマルウェアは急速に進化し、強力なMalware-as-a-Service(MaaS)オペレーションへと発展しました。
元々は欺瞞的なラベリングによりVidarに誤分類されていたこのマルウェアは、積極的に開発されており、研究者はわずか3ヶ月間でコンパイルされた334個のユニークなサンプルを分析しています。
Torg Grabberの開発は、データ流出機能を強化するため、3つの異なるフェーズにわたる急速な進化を特徴としています。
初期のビルドは基本的で、シンプルなTelegramボットに依存して、暗号化されていないZIPアーカイブ経由で盗まれた認証情報を送信していました。このアプローチの限界と検出可能性を認識した開発者は、ChaCha20暗号化で保護されたカスタムTCPプロトコルで一時的に実験しました。
最終的に、開発者はTCPメソッドを放棄し、HTTPS上のプロダクショングレードのREST APIを採用しました。最終的な形では、マルウェアはユニークなハードウェアフィンガープリントを使用して感染したマシンを登録します。
これは、Cloudflare経由でルーティングされたチャンク化されたChaCha20暗号化データを使用して、コマンド&コントロール(C2)サーバーと通信します。拡大する犯罪顧客ベースを管理するため、Torg Grabberはユニークなオペレータータグを使用します。
これらのタグは、ロシアのサイバー犯罪Telegramアカウントにリンクされていることが多く、環境変数を使用してマルウェアに注入されます。このフランチャイズモデルにより、単一のコンパイルされたペイロードが複数のオペレーターにシームレスにサービスを提供できます。
Torg Grabberは複雑なファイルレス感染チェーンを通じて被害者に到達します。初期の侵害は、偽のゲームチートや割られたソフトウェア、または悪意のある「ClickFix」クリップボード攻撃などの欺瞞的な罠から生じることが多いです。
実行されると、初期ドロッパーはシステム環境変数を設定して、特定のオペレーターのIDを確立します。
自己解凍ローダーがその後のステージをデコードし、最終的にはリフレクティブPEローダーを使用して、最終的な683 KBのスティーラーペイロードをシステムメモリ内全体で実行します。
この技術により、コアマルウェアはハードドライブに触れることはなく、従来のアンチウイルスツールが検出することは非常に困難になります。
Torg Grabberの最も危険な機能の1つは、Google ChromeのApp-Bound Encryption(ABE)をバイパスする能力です。
ブラウザのプロセスIDにバインドすることでgendigitalブラウザデータを保護するために導入されたABEは、Torg Grabberが20 KBのカスタム暗号化リフレクティブDLLを使用することで破られます。
このDLLは、Chrome、Edge、Brave、AVGなどのブラウザ内のWindows Elevation Service COMインターフェースを操作して、AES-256マスターキーを抽出します。
翻訳元: https://cyberpress.org/torg-grabber-uses-encrypted-c2/