الأمن السيبراني
#الذكاء_الاصطناعي
#الأمن_السيبراني
Torg Grabber: برنامج خبيث جديد يستهدف مئات محافظ العملات المشفرة
كشف باحثون في شركة الأمن السيبراني [[Gen]] عن برنامج خبيث جديد لسرقة المعلومات يُدعى Torg Grabber، يستهدف حاليًا 850 إضافة متصفح، منها أكثر من 700 خاصة بمحافظ العملات المشفرة. يحصل البرنامج على الوصول الأولي عبر تقنية ClickFix، التي تعتمد على اختطاف حافظة النظام وخداع المستخدم لتنفيذ أمر PowerShell خبيث.
وفقًا لـ [[Gen]]، يتطور Torg Grabber بنشاط ملحوظ، حيث تم تجميع 334 عينة فريدة منه في غضون ثلاثة أشهر (بين ديسمبر 2025 وفبراير 2026)، ويتم تسجيل خوادم القيادة والتحكم (C2) الجديدة أسبوعيًا. ولا يقتصر استهداف Torg Grabber على محافظ العملات المشفرة فحسب، بل يمتد ليشمل 103 من مديري كلمات المرور وأدوات المصادقة الثنائية، بالإضافة إلى 19 تطبيقًا لتدوين الملاحظات.
تطور سريع ومستمر
في تقرير فني صدر هذا الأسبوع، أوضح باحثو Gen Digital أن الإصدارات الأولية من Torg Grabber كانت تستخدم بروتوكولًا يعتمد على تيليجرام ثم بروتوكول TCP مخصصًا ومشفرًا لاستخراج البيانات. لكن في 18 ديسمبر 2025، تم التخلي عن هاتين الآليتين لصالح اتصال HTTPS موجه عبر بنية [[Cloudflare]] التحتية، يدعم هذا الأسلوب تحميل البيانات المجزأة وتسليم الحمولة.
.jpg)
يتميز البرنامج بآليات متعددة لمكافحة التحليل، وتعتيم متعدد الطبقات، ويستخدم استدعاءات النظام المباشرة والتحميل الانعكاسي للتهرب من الكشف، مما يتيح له تشغيل الحمولة النهائية بالكامل في الذاكرة.
في 22 ديسمبر 2025، أضاف Torg Grabber تجاوز تشفير App-Bound Encryption (ABE) للتغلب على نظام حماية ملفات تعريف الارتباط في متصفحات مثل [[Chrome]] وBrave وEdge وVivaldi وOpera، وهو أسلوب شائع بين العديد من برامج سرقة المعلومات. ومع ذلك، اكتشف الباحثون أيضًا أداة مستقلة تُدعى Underground، تُستخدم لاستخراج بيانات المتصفح.
تقوم هذه الأداة بحقن مكتبة DLL بشكل انعكاسي في المتصفح للوصول إلى خدمة COM Elevation الخاصة بـ [[Chrome]] واستخراج مفتاح التشفير الرئيسي، وهي طريقة لوحظت مؤخرًا أيضًا في برنامج VoidStealer.
قدرات واسعة لسرقة البيانات
اكتشفت Gen Digital أن Torg Grabber يستهدف 25 متصفحًا مبنيًا على Chromium و8 إصدارات من Firefox، محاولًا سرقة بيانات الاعتماد وملفات تعريف الارتباط وبيانات الملء التلقائي.
من بين 850 إضافة متصفح يستهدفها، هناك 728 إضافة خاصة بمحافظ العملات المشفرة، وتشمل "جميع محافظ العملات المشفرة التي تم تصورها بتفاؤل بشري"، مثل [[MetaMask]] وPhantom وTrustWallet وCoinbase وBinance وExodus وTronLink وRonin وOKX وKeplr وRabby وSui وSolflare.
بالإضافة إلى المحافظ، يستهدف البرنامج قائمة طويلة تضم 103 إضافات لمديري كلمات المرور والرموز والمصادقات، منها LastPass و1Password وBitwarden وKeePass وNordPass وDashlane وProtonPass وEnpass وPsono وPleasant Password Server وheylogin و2FAAuth وGAuth وTOTP Authenticator وAkamai MFA.
يستهدف Torg Grabber أيضًا معلومات من تطبيقات Discord وTelegram وSteam وتطبيقات VPN وتطبيقات FTP وعملاء البريد الإلكتروني ومديري كلمات المرور وتطبيقات محافظ العملات المشفرة لسطح المكتب.
يمكن للبرنامج أيضًا جمع معلومات عن الجهاز المضيف، وإنشاء بصمة للأجهزة، وتوثيق البرامج المثبتة (بما في ذلك 24 أداة لمكافحة الفيروسات)، وأخذ لقطات شاشة لسطح مكتب المستخدم، وسرقة الملفات من مجلدات سطح المكتب والمستندات.
ومن الجدير بالذكر أيضًا قدرته على تنفيذ تعليمات برمجية (shellcode) على الجهاز المخترق، يتم تسليمها بشكل مضغوط ومشفّر باستخدام ChaCha من خادم C2. تحذر Gen Digital من أن Torg Grabber يواصل التطور بسرعة، ويسجل نطاقات C2 جديدة أسبوعيًا، وأن قاعدة مشغليه تتوسع، مع توثيق 40 علامة تعريف بحلول وقت التحليل. لذا، يُنصح المستخدمون باتخاذ أقصى درجات الحيطة والحذر لحماية أصولهم الرقمية.
الأسئلة الشائعة
Torg Grabber هو برنامج خبيث لسرقة المعلومات يستهدف محافظ العملات المشفرة وإضافات المتصفحات ومديري كلمات المرور وأدوات المصادقة الثنائية.
يستخدم Torg Grabber تقنية ClickFix التي تعتمد على اختطاف حافظة النظام وخداع المستخدم لتنفيذ أمر PowerShell خبيث.
يسرق Torg Grabber بيانات الاعتماد، ملفات تعريف الارتباط، بيانات الملء التلقائي، ومعلومات من محافظ العملات المشفرة ومديري كلمات المرور وتطبيقات المصادقة الثنائية.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!