Torg Stealer

Torg és un programari maliciós altament perillós que roba informació i està dissenyat per extreure dades sensibles dels sistemes infectats i transmetre-les als ciberdelinqüents a través d'una infraestructura basada en API. Es distribueix sota un model de programari maliciós com a servei (MaaS), cosa que el fa accessible a una àmplia gamma d'actors d'amenaces. Un cop detectat en un dispositiu, la seva eliminació immediata és fonamental per evitar que les dades es comprometin més.

Àmplies capacitats de segmentació del navegador

Un dels principals punts forts de Torg rau en la seva capacitat per comprometre una àmplia varietat de navegadors web. Es dirigeix específicament a navegadors basats en Chromium com ara Chrome, Edge, Brave i Opera, així com a navegadors basats en Firefox. En total, pot extreure dades de desenes de navegadors.

El programari maliciós és capaç d'accedir a les credencials d'inici de sessió emmagatzemades, incloses les contrasenyes i les galetes desades. També està dissenyat per eludir o desxifrar els mecanismes de seguretat del navegador dissenyats per protegir aquesta informació, fent que fins i tot les dades protegides siguin vulnerables al robatori.

Explotació d'extensions del navegador i complements sensibles

Torg amplia significativament el seu abast dirigint-se a les extensions del navegador. És capaç d'extreure dades de més de 800 extensions, moltes de les quals estan associades amb moneders de criptomoneda, incloent-hi opcions àmpliament utilitzades com MetaMask i Phantom. A més, dirigeix-se a més de 100 extensions relacionades amb la seguretat, incloent-hi gestors de contrasenyes i eines d'autenticació de dos factors.

A més de les eines financeres, el programari maliciós també recopila informació de diverses extensions per prendre notes. Aquestes extensions sovint emmagatzemen dades sensibles de l'usuari, com ara contrasenyes, notes personals i altra informació confidencial, cosa que les converteix en objectius valuosos per als atacants.

Robatori de moneders de criptomonedes a gran escala

Torg representa una greu amenaça per als usuaris de criptomonedes, ja que ataca tant aplicacions de cartera basades en navegador com d'escriptori. Pot extreure dades sensibles de cartera de més de 30 programes de cartera d'escriptori, com ara Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet i WalletWasabi.

El programari maliciós és capaç de robar informació altament sensible com ara llavors de moneder, claus privades i dades de sessió. Aquest nivell d'accés pot permetre als atacants prendre el control total dels actius de criptomoneda.

Dirigint-se a la comunicació, els jocs i les dades del sistema

Torg estén les seves capacitats de robatori de dades a una àmplia gamma d'aplicacions i serveis. Pot extreure fitxes de Discord escanejant bases de dades de LevelDB, permetent l'accés no autoritzat als comptes sense necessitat de credencials d'inici de sessió. També captura dades de sessió de Telegram, donant possiblement accés a sessions d'usuaris actius, i roba fitxers de configuració de Steam que es poden utilitzar per segrestar o suplantar comptes de joc.

Els objectius addicionals inclouen:

• Clients VPN (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), eines FTP i d'accés remot (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) i clients de correu electrònic com ara Outlook i Thunderbird
• Plataformes de jocs (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), juntament amb fitxers sensibles emmagatzemats a les carpetes Escriptori i Documents
• L'impacte: greus riscos financers i de privadesa

Torg funciona silenciosament en segon pla, recopilant una àmplia gamma d'informació confidencial sense el coneixement de l'usuari. Això inclou credencials d'inici de sessió, dades financeres, fitxers personals i tokens d'accés al compte.

A causa del seu ampli abast d'objectius, les infeccions poden tenir conseqüències greus com ara robatori d'identitat, abús de comptes, pèrdues financeres i violacions de la privadesa a llarg termini. La seva capacitat per comprometre múltiples plataformes simultàniament el fa particularment destructiu.

Com Torg infecta els sistemes

El procés d'infecció normalment comença quan els usuaris descarreguen i executen fitxers maliciosos disfressats de contingut legítim. Aquests sovint inclouen programari pirata, aplicacions piratejades, instal·ladors falsos o trampes de jocs. La càrrega útil inicial, coneguda com a dropper, instal·la en secret components maliciosos addicionals al sistema.

La cadena d'atac implica diverses etapes sofisticades:

• El dropper desplega programari maliciós ocult mitjançant tècniques d'ofuscació i xifratge per evadir la detecció.
• El codi maliciós es pot executar directament a la memòria, evitant la detecció basada en disc.
• Un carregador prepara el sistema ocultant processos o injectant codi en processos legítims de Windows.

Finalment, el lladre de Torg s'executa a la memòria, començant les seves activitats d'exfiltració de dades.

ClickFix i altres mètodes de distribució enganyosos

A més dels vectors d'infecció tradicionals, Torg també es propaga mitjançant una tècnica coneguda com a ClickFix. Aquest mètode manipula els usuaris perquè copiïn i executin ordres malicioses, sovint disfressades d'instruccions legítimes. Aquestes ordres solen ser scripts de PowerShell que, un cop executats, inicien el procés d'infecció i descarreguen el programari maliciós automàticament.

Combinats amb tàctiques d'enginyeria social i ofuscació tècnica, aquests mètodes de distribució fan de Torg una amenaça altament efectiva i perillosa que requereix atenció i eliminació immediates si es detecta.