كشف تقرير حديث عن ظهور برمجية خبيثة جديدة تُعرف باسم “Torg Grabber”، وهي أداة سرقة بيانات اعتماد متطورة تعمل كخدمة (Malware-as-a-Service). تتميز هذه الأداة بوتيرة تطور سريعة، حيث انتقلت في غضون ثلاثة أشهر فقط من الاعتماد على تطبيق تيليجرام لاستخراج البيانات، إلى استخدام بنية قيادة وتحكم (C2) مشفرة عبر واجهة برمجة تطبيقات REST.
يُعد هذا التطور السريع، بالإضافة إلى وجود 334 عينة مجمعة في هذه الفترة القصيرة وأكثر من 40 علامة لمشغلين مؤكدين تم العثور عليها في الملفات التنفيذية، مؤشراً قوياً على أن Torg Grabber يخدم حالياً العديد من العملاء المجرمين. وتدل هذه الظاهرة على عملية جريمة إلكترونية منظمة تعتمد على الأدوات الجاهزة وتعمل على نطاق واسع.
Torg Grabber: تطورات سريعة وبنية متقدمة
اكتسبت البرمجية الخبيثة اسمها من أحد نطاقاتها الأكثر استخداماً للقيادة والتحكم، وهو technologytorg.com. وتعتبر كلمة “torg” في اللغة الروسية مرادفاً لكلمتي “تجارة” أو “سوق”، وهو ما يتناسب مع طبيعة الأداة التي تُستخدم لبيع وشراء بيانات الاعتماد المسروقة.
بدأت عملية الاكتشاف عندما تم العثور على عينة تم تصنيفها بالخطأ على أنها Vidar Stealer. بعد فحص دقيق، اتضح أن العينة عبارة عن ملف تنفيذي 64 بت تم تجميعه باستخدام MinGW-GCC، بينما Vidar الأصلي هو بناء 32 بت يتم تجميعه بواسطة MSVC. ووجود سلسلة تعريف ذاتية “grabber v1.0” ضمن الشيفرة، بالإضافة إلى بروتوكول القيادة والتحكم الذي يستخدم نقاط نهاية REST API مع تشفير ChaCha20 ومصادقة HMAC-SHA256، أكد أن الأمر لا يتعلق بـ Vidar.
مراحل تطور Torg Grabber
حدد فريق الأبحاث في Gen Digital البرمجية الخبيثة وأطلق عليها اسمها رسمياً بعد تحليل ملفاتها التنفيذية. وأكد المحللون أن Torg Grabber مرت بثلاث مراحل واضحة لاستخراج البيانات خلال فترة حياتها القصيرة.
في الإصدارات الأولى، التي كانت نشطة في الفترة من 9 إلى 11 ديسمبر 2025، كانت البرمجية ترسل أرشيفات ZIP المسروقة إلى قنوات تيليجرام خاصة عبر واجهة Bot API الخاصة بتيليجرام. اعتمد هذا النهج على السرعة وعدم الحاجة إلى بنية تحتية معقدة.
في الفترة من 17 إلى 20 ديسمبر، تحولت البرمجية لفترة وجيزة إلى استخدام بروتوكول TCP Socket الخام مع إطار ثنائي مخصص بحجم 9 بايتات مع تشفير ChaCha20-Poly1305. ورغم ذلك، لم يستمر هذا التحول طويلاً.
بدءاً من 18 ديسمبر، انتقلت البرمجية إلى استخدام واجهة REST API الرسمية عبر HTTPS، والتي يتم توجيهها من خلال Cloudflare. هذا جعل اعتراض حركة المرور وحظر النطاقات أكثر صعوبة، مما يعزز قدرة المهاجمين على البقاء متخفيين.
نطاق واسع من البيانات المستهدفة
تستهدف Torg Grabber مجموعة واسعة من البيانات الحساسة. فهي تشمل بيانات الاعتماد من 25 متصفحاً يعتمد على Chromium و 8 متصفحات من عائلة Firefox. بالإضافة إلى ذلك،جمع معلومات من أكثر من 850 إضافة للمتصفحات، بما في ذلك محافظ العملات المشفرة وأدوات المصادقة الثنائية. كما تقوم بسرقة بيانات الجلسات من تطبيقات مثل Discord و Telegram و Steam.
وإلى جانب ذلك، تجمع البرمجية الخبيثة أيضاً بيانات تكوينات VPN، وملفات عملاء FTP، وصور شاشة سطح المكتب. قبل بدء عملية الجمع، تتحقق Torg Grabber من وجود 46 توقيعاً لبرامج مكافحة الفيروسات ضمن 24 منتجاً أمنياً لتحديد الدفاعات الموجودة لدى الضحية.
من جهة أخرى، تمكنت الثماني علامات لمشغلين مؤكدين من الارتباط بحسابات تيليجرام نشطة مرتبطة بشبكات جريمة إلكترونية ناطقة بالروسية.
سلسلة التحميل: من المزود إلى التنفيذ في الذاكرة
لا تصل Torg Grabber إلى جهاز الضحية بمفردها، بل تأتي مغلفة ضمن سلسلة تحميل متعددة المراحل تقوم بإزالة طبقات متعددة قبل أن تصل البرمجية الخبيثة الفعلية إلى الذاكرة.
تُعرف الطبقة الخارجية، أو المرحلة صفر، باسم المزود (Dropper). يتعرض الضحايا لها في صورة برامج مساعدة للألعاب مزيفة، أو حزم برامج مقرصنة، أو هجمات النسخ واللصق (Clipboard attacks) التي تتم عبر Google Apps Script.
في إصابة مؤكدة تم رصدها في 30 يناير 2026، قامت صفحة خبيثة بإضافة أمر PowerShell إلى الحافظة بشكل سري، وطلبت من المستخدم لصقه وتشغيله. أدى هذا إلى بدء عملية تحميل خفية عبر BITS Transfer، والتي عملت من خلال svchost.exe الخاص بنظام ويندوز، مما جعلها تندمج مع حركة مرور النظام المشروعة وتتجنب العديد من أدوات المراقبة.
المرحلة الأولى هي مُحمِّل استخلاص ذاتي يحتوي على طبقة إضافية مشفرة بـ AES-256-CBC تتجاوز بيانات القسم العادية للملف التنفيذي. يقوم هذا المُحمِّل بمعالجة الحمولة عبر فك تشفير سداسي عشري مخصص وفك تشفير AES، ثم يقوم باستدعاء واجهات برمجة تطبيقات Windows NT في وقت التشغيل باستخدام استدعاءات نظام مباشرة (syscalls)، مما لا يترك أي استدعاءات ظاهرة يمكن لأدوات التحليل الثابت اكتشافها.
تعمل المرحلة الثانية بالكامل في الذاكرة، حيث تعمل كمُحمِّل PE انعكاسي، يقوم بتعيين الحمولة الخبيثة النهائية دون كتابة أي شيء على القرص. وبحلول وقت تنشيط المرحلة الثالثة، تكون البرمجية الخبيثة قيد التشغيل داخل عملية نشطة، ولا يوجد أي أثر على القرص ليتم فحصه أو اكتشافه.
يُنصح المستخدمون بتجنب تنزيل البرامج من مصادر غير رسمية، أو مواقع الغش للألعاب، أو منصات التطبيقات المقرصنة. ويجب على فرق تقنية المعلومات مراقبة أوامر PowerShell التي تحتوي على وسيطات مشفرة بـ base64، وإنشاء مهام BITS Transfer غير متوقعة.
يجب تكوين أدوات نقاط النهاية للإبلاغ عن استخدام استدعاءات النظام المباشرة وأنماط تحميل PE من الذاكرة. بالنسبة للمؤسسات التي تستخدم متصفحات Chromium، يجب التأكد من تكوين تشفير البيانات المرتبطة بالتطبيقات (App-Bound Encryption) بشكل صحيح. وأي تعليق غير متوقع لعمليات المتصفح أثناء النشاط العادي يجب اعتباره مؤشراً محتملاً على اختراق.