От Telegram-бота до криминальной империи за 90 дней. Как вырастить инфостилер с 40 операторами и сотнями жертв

В образце вредоносного ПО, который сначала приняли за известный инфостилер Vidar, обнаружили совсем другую историю. За подменой скрывался новый инструмент кражи данных, получивший название Torg Grabber. За 3 месяца исследователи собрали 334 образца и проследили, как примитивная заготовка быстро превратилась в полноценный криминальный сервис с собственной инфраструктурой, панелью управления и десятками операторов.

Первое, что насторожило аналитиков, — несоответствие базовым признакам. Бинарный файл весил около 747 килобайт, был собран как 64-битный исполняемый модуль с помощью MinGW/GCC и использовал другой протокол управления. У Vidar структура и инструменты иные. Внутри обнаружился отладочный маркер grabber v1.0, а сетевое взаимодействие строилось через REST API с шифрованием ChaCha20 и аутентификацией HMAC-SHA256. Сравнение с другими стилерами вроде StealC также не дало совпадений. В итоге стало ясно: речь идет о новой разработке.

Эволюция Torg Grabber зафиксирована почти покадрово. На раннем этапе вредоносная программа действовала максимально просто. Данные собирались, архивировались в ZIP и отправлялись в закрытые каналы Telegram через Bot API. Шифрования поверх стандартного TLS не было, а при сбое загрузки программа могла отправить информацию в открытом виде текстовым сообщением. Такая схема требовала минимальных затрат, но легко обнаруживалась и быстро блокировалась.

Через несколько дней разработчики попробовали другой подход — собственный бинарный протокол поверх TCP. Программа открывала соединение с удаленным сервером и передавала данные в зашифрованном виде с использованием ChaCha20-Poly1305. Пакеты разбивались на блоки по 64 килобайта, добавлялась проверка целостности через SHA-256. Решение выглядело технически аккуратно, но оказалось слишком сложным для масштабирования. От идеи отказались уже после 4 сборок.

Дальше началась основная фаза. Вредоносная программа перешла на REST API поверх HTTPS и получила полноценную серверную часть. При запуске Torg Grabber регистрируется на управляющем сервере через запрос к /api/auth, передает отпечаток системы — видеокарту, идентификатор оборудования, список антивирусов, — и получает конфигурацию. Затем начинается передача украденных данных частями, с шифрованием и проверкой подлинности каждого запроса. Трафик часто проходит через Cloudflare, что усложняет блокировку.

Функциональность быстро росла. Размер бинарного файла увеличился почти вдвое, появились дополнительные модули. Один из ключевых компонентов — DLL для обхода механизма Application Bound Encryption, который Google внедрила в Chrome начиная с версии 127. Этот механизм привязывает ключи шифрования к самому процессу браузера, чтобы защитить учетные данные. Torg Grabber решает задачу через внедрение кода в память и обращение к COM-интерфейсам Elevation Service, получая мастер-ключ и расшифровывая хранилища паролей, cookies и других данных.

Сам процесс заражения строится как цепочка из нескольких этапов. Сначала пользователь сталкивается с приманкой: фальшивые читы для игр, взломанное ПО или страница с поддельным уведомлением. Один из распространенных сценариев — атака через буфер обмена. Вредоносная страница копирует PowerShell-команду и предлагает вставить ее вручную. После запуска команда загружает следующий этап через Background Intelligent Transfer Service - штатный механизм Windows, который редко вызывает подозрения.

Далее запускается загрузчик, который маскируется под установщик или обновление. Он распаковывает дополнительные компоненты, применяет несколько уровней шифрования и обфускации и постепенно разворачивает основной модуль в памяти. Вредоносный код не записывает финальный исполняемый файл на диск, а загружает его напрямую в оперативную память. Такой подход затрудняет обнаружение классическими средствами.

После активации Torg Grabber собирает данные с широкого набора источников. В списке — 25 браузеров на базе Chromium, 8 версий Firefox, около 850 расширений, а также Discord, Steam, Telegram, VPN-клиенты, FTP-доступы, почтовые клиенты и криптокошельки. Программа может делать скриншоты, собирать файлы с рабочего стола и из документов, а при необходимости загружать и исполнять дополнительный код с сервера управления.

Отдельный интерес представляет архитектура распространения. Один и тот же бинарный файл используется разными операторами. Настройки передаются через переменные окружения, которые задаются на этапе заражения. Такой подход позволяет не пересобирать вредоносную программу для каждого клиента. Фактически речь идет о модели Malware-as-a-Service, где разработчик предоставляет инструмент, а операторы используют его под свои задачи.

Анализ бинарных файлов позволил выделить более 40 идентификаторов операторов. Среди них — псевдонимы, даты сборок и числовые ID, совпадающие с учетными записями в Telegram. Через эти идентификаторы управляющая панель распределяет уведомления о полученных данных. Часть аккаунтов удалось связать с русскоязычной киберпреступной средой.

Инфраструктура кампании также разделена по ролям. Одни домены отвечают за доставку загрузчиков, другие — за работу управляющего сервера. Такая схема повышает устойчивость: блокировка одного сегмента не останавливает всю операцию. Серверы регистрируются на короткий срок, используют бесплатные сертификаты и часто меняются.

В итоге Torg Grabber показывает типичную для последних лет тенденцию. Вредоносное ПО развивается не как единичный инструмент, а как сервис с быстрым циклом обновлений, модульной архитектурой и распределенной инфраструктурой. За несколько месяцев проект прошел путь от простого прототипа на базе Telegram до сложной системы, которая сочетает продвинутую криптографию, обход защит браузеров и масштабируемую модель распространения.