悪意のあるソフトウェアのサンプルの中で、最初は悪名高いVidarインフォスティーラーとして誤認識されていましたが、全く異なるナラティブが明らかになりました。この誤属性の下に隠れていたのは、データ流出の初期段階の手段であり、その後Torg Grabberと名付けられました。3ヶ月にわたる3段階の期間を通じて、フォレンジック監視者は334個のサンプルを収集し、初歩的なプロトタイプがどのように急速に完全な犯罪サービスに変身したかを詳細に記録しました。それは独自の主権インフラストラクチャ、管理ハブ、および多数のオペレーターを誇っていました。
アナリストの深い懐疑心を呼び起こした最初の異常は、基本的な特徴からの大きな逸脱でした。わずか747キロバイトの重さのバイナリアーティファクトは、MinGW/GCCを介して64ビット実行可能モジュールとしてコンパイルされ、完全に異なるコマンドプロトコルを備えていました。Vidarのアーキテクチャ構造と機器の兵器は根本的に異なります。コード内に隠されていたのは「grabber v1.0」というデバッグセンチネルで、ネットワーク通信はChaCha20暗号化とHMAC-SHA256認証で強化されたREST APIを介して調整されました。StealCのような関連窃盗器との比較分析も同様に一致を示しませんでした。最終的に、これが深く初期段階の創造であることが明らかになりました。
Torg Grabberの進化の軌跡は、ほぼ映画的な精密さで記録されています。その初期段階では、有害なプログラムは絶対的なシンプルさで動作していました。テレメトリは収集され、ZIPアーカイブに圧縮され、Bot APIを介して秘密のTelegramチャネルに送信されました。TLSを超えた暗号化装甲を持たず、送信が失敗した場合、プログラムは大胆に情報を生のテキストとして送信していました。このパラダイムは最小限の支出を必要としていましたが、簡単に暴露され、迅速に遮断されました。
ほんの数日後、設計者は異なる戦略に転換しました。TCPの上に層状化されたカスタムバイナリプロトコルです。プログラムはリモートの主権サーバーへの接続を行い、盗まれたテレメトリをChaCha20-Poly1305の暗号化シュラウドの下で送信していました。データパケットは優雅に64キロバイトのブロックに断片化され、SHA-256の整合性検証で拡張されました。技術的には綿密でしたが、このアーキテクチャはスケーリングするのに苦しむほど複雑でした。この取り組みはわずか4回の反復後に無情に放棄されました。
その後、進化の主要な段階が始まりました。有害なプログラムはHTTPSの上に層状化されたREST APIに昇格し、完全なサーバー側アーキテクチャを獲得しました。起動時に、Torg Grabberは/api/authへのリクエストを通じてコマンド統治者に登録し、グラフィックス処理ユニット、ハードウェア識別子、既存のアンチウイルスセンチネルのレジストリを含むシステミック指紋を提供した後、その操作指令を受け取ります。その後、盗まれたテレメトリの分散型流出が開始され、すべての個別リクエストは暗号化と認証で隠蔽されます。トラフィックは頻繁にCloudflareの迷路を通過し、侵攻防止の取り組みを大きく複雑にしています。
その機能的な力は急速に成長しました。バイナリアーティファクトはほぼ倍のサイズになり、補足的なモジュールを吸収しました。最重要コンポーネントは、Googleがバージョン127から始まるChrome内に構築した要塞であるApplication Bound Encryptionメカニズムを回避するために設計された動的リンクライブラリ(DLL)です。このメカニズムは、認証情報テレメトリを保護するために、暗号化キーをブラウザーの主権プロセスに不可分に拘束しています。Torg Grabberは、メモリに直接コードを注入し、Elevation ServiceのCOMインターフェースに要求することで、この障害を克服し、マスターキーを奪取し、パスワード、クッキー、および関連データを保持する聖域の封印を解除します。
感染の舞踊そのものは多層的な迷路として構築されています。最初に、ユーザーは誘い:偽のゲーム詐欺、侵害されたソフトウェア、または偽の警告を表示するポータルに遭遇します。一般的な戦略は、クリップボード経由の攻撃を含みます。有害なポータルはPowerShellエディクトを複製し、被害者にそれを手動で実行するよう懇願します。点火時に、エディクトはBackground Intelligent Transfer Service(背景インテリジェント転送サービス)を介して次の段階を召喚します—これはWindows固有のメカニズムで、滅多に疑惑を呼び起こしません。
その後、ブートローダーが目覚め、正統なインストーラーまたはアップデートとしてエレガントに偽装します。それは補足的なコンポーネントの封印を解き、暗号化と難読化の複数のレイヤーをレイヤーし、システミックメモリ内の主要なモジュールを段階的に展開します。有害なコードは注意深く、最終的な実行可能アーティファクトを物理ディスクに刻まないようにし、代わりにVolatile Random Access Memory(RAM)内に直接現れることを選択します。このようなパラダイムは古典的なセンチネルによる検出を深く混乱させます。
起動時に、Torg Grabberは広がりのある情報源のコンペンディアムからテレメトリを貪欲に収集します。レジストリには、25個のChromiumベースのナビゲーター、8個のFirefoxバージョン、約850個の拡張機能、およびDiscord、Steam、Telegram、VPNクライアント、FTPポータル、郵送発行者、および暗号通貨聖域が含まれます。プログラムは光学スクリーンショットをキャプチャする主権をコマンドし、デスクトップおよびドキュメントリポジトリからアーカイブを盗掘し、必要が生じた場合、コマンド統治者から補足的なコードを召喚して実行します。
その増殖を支配するアーキテクチャパラダイムは深い陰謀をコマンドしています。同じバイナリアーティファクトは多数の異なるオペレーターによって操作されます。操作パラメータは環境変数を介して送信され、感染の時期中に厳密に定義されます。このような方法論は、各個別のパトロンのために有害なプログラムを再コンパイルする必要性を消滅させます。本質的に、これは完全に実現された「Malware-as-a-Service」パラダイムとして現れます。ここで、設計者が器具を提供し、オペレーターはそれを使用してカスタム命令を実現します。
バイナリアーティファクトのフォレンジック解剖は40以上の異なるオペレーター識別子を明かしました。これらの中には、Telegramアカウントをシームレスに反映する偽名、コンパイル時期、および数値指定があります。これらの識別子を通じて、管理ハブは収集された戦利品に関する通知をルーティングします。これらのアカウントの一部は、ロシア系サイバー犯罪地下世界に不可分に拘束されています。
キャンペーンの総合的なインフラストラクチャは、機能によって同様に区分されています。特定のドメインはブートローダーの配信に排他的に割り当てられ、その他はコマンド統治者の操作を管理します。このようなアーキテクチャは回復力を深く向上させます:単一のセグメントの斬首は操作全体を麻痺させません。サーバーは短期間の期間にプロビジョニングされ、相互に認められる証明書に依存し、絶え間ない回転の対象となります。
最終的に、Torg Grabberは最近の時代の一般的な軌跡を体現しています。悪意のあるソフトウェアはもはや単一の器具として進化するのではなく、むしろ総合的なサービスとして進化しており、激しい再生の周期、深くモジュール的なアーキテクチャ、および広がりのある分散インフラストラクチャを備えています。わずか数ヶ月の期間内に、この取り組みは初期段階のTelegramベースのプロトタイプから、高度な暗号化、ブラウザ要塞の回避、および深くスケーラブルな増殖パラダイムをシームレスに統合する迷宮的なアーキテクチャへの困難な道を通過しました。
