Torg Stealer

Torg는 감염된 시스템에서 민감한 데이터를 추출하여 API 기반 인프라를 통해 사이버 범죄자에게 전송하도록 설계된 매우 위험한 정보 탈취 악성코드입니다. MaaS(Malware-as-a-Service) 모델로 배포되므로 광범위한 위협 행위자들이 접근할 수 있습니다. 기기에서 Torg가 발견되면 추가적인 데이터 유출을 방지하기 위해 즉시 제거하는 것이 매우 중요합니다.

광범위한 브라우저 타겟팅 기능

Torg의 주요 강점 중 하나는 다양한 웹 브라우저를 해킹할 수 있다는 점입니다. 특히 크롬, 엣지, 브레이브, 오페라와 같은 크로뮴 기반 브라우저와 파이어폭스 기반 브라우저를 표적으로 삼습니다. 총 수십 개의 브라우저에서 데이터를 추출할 수 있습니다.

해당 악성 소프트웨어는 저장된 로그인 자격 증명, 비밀번호 및 쿠키를 포함한 다양한 정보에 접근할 수 있습니다. 또한 이러한 정보를 보호하기 위해 설계된 브라우저 보안 메커니즘을 우회하거나 해독하도록 제작되어, 안전하게 보호된 데이터조차도 도난에 취약하게 만듭니다.

브라우저 확장 프로그램 및 민감한 추가 기능을 악용하는 방법

Torg는 브라우저 확장 프로그램을 공격 대상으로 삼아 공격 범위를 크게 확장했습니다. 800개 이상의 확장 프로그램에서 데이터를 추출할 수 있으며, 그중 다수는 MetaMask, Phantom과 같은 널리 사용되는 암호화폐 지갑 관련 확장 프로그램입니다. 또한, 비밀번호 관리자 및 2단계 인증 도구를 포함한 100개 이상의 보안 관련 확장 프로그램도 공격 대상으로 삼고 있습니다.

이 악성 프로그램은 금융 도구 외에도 다양한 메모 작성 확장 프로그램에서 정보를 수집합니다. 이러한 확장 프로그램은 비밀번호, 개인 메모 및 기타 기밀 정보와 같은 민감한 사용자 데이터를 저장하는 경우가 많아 공격자에게 중요한 공격 대상이 됩니다.

대규모 암호화폐 지갑 도난 사건 발생

Torg는 브라우저 기반 및 데스크톱 지갑 애플리케이션 모두를 표적으로 삼아 암호화폐 사용자에게 심각한 위협을 가합니다. 이 악성 프로그램은 Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet, WalletWasabi 등 30개 이상의 데스크톱 지갑 프로그램에서 민감한 지갑 데이터를 추출할 수 있습니다.

해당 악성 소프트웨어는 지갑 시드, 개인 키, 세션 데이터와 같은 매우 민감한 정보를 탈취할 수 있습니다. 이러한 수준의 접근 권한을 확보하면 공격자는 암호화폐 자산을 완전히 장악할 수 있습니다.

타겟팅 커뮤니케이션, 게임 및 시스템 데이터

Torg는 다양한 애플리케이션과 서비스로 데이터 탈취 기능을 확장합니다. LevelDB 데이터베이스를 스캔하여 Discord 토큰을 추출함으로써 로그인 자격 증명 없이도 계정에 무단으로 접근할 수 있습니다. 또한 Telegram 세션 데이터를 캡처하여 활성 사용자 세션에 접근할 수 있으며, Steam 설정 파일을 탈취하여 게임 계정을 해킹하거나 사칭하는 데 사용할 수도 있습니다.

추가 목표는 다음과 같습니다.

• VPN 클라이언트(ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP 및 원격 접속 도구(FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP), 그리고 Outlook 및 Thunderbird와 같은 이메일 클라이언트
• 게임 플랫폼(Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect)과 바탕 화면 및 문서 폴더에 저장된 민감한 파일
• 영향: 심각한 개인정보 침해 및 재정적 위험

Torg는 사용자가 모르는 사이에 백그라운드에서 조용히 작동하며 로그인 자격 증명, 금융 데이터, 개인 파일 및 계정 액세스 토큰을 포함한 다양한 민감한 정보를 수집합니다.

광범위한 공격 대상을 겨냥하기 때문에, 감염 시 신원 도용, 계정 탈취, 금전적 손실, 장기적인 개인정보 침해와 같은 심각한 결과를 초래할 수 있습니다. 특히 여러 플랫폼을 동시에 감염시킬 수 있다는 점에서 더욱 파괴적입니다.

Torg는 어떻게 시스템을 감염시키는가?

악성코드 감염 과정은 일반적으로 사용자가 합법적인 콘텐츠로 위장한 악성 파일을 다운로드하고 실행할 때 시작됩니다. 이러한 파일에는 불법 복제 소프트웨어, 크랙된 애플리케이션, 가짜 설치 프로그램 또는 게임 치트 등이 포함되는 경우가 많습니다. 드로퍼라고 불리는 초기 실행 파일은 시스템에 추가적인 악성 구성 요소를 몰래 설치합니다.

공격 과정은 여러 정교한 단계를 거칩니다.

• 해당 드로퍼는 탐지를 피하기 위해 난독화 및 암호화 기술을 사용하여 숨겨진 악성코드를 배포합니다.
• 악성 코드는 메모리에서 직접 실행될 수 있으므로 디스크 기반 탐지를 회피할 수 있습니다.
• 로더는 프로세스를 숨기거나 정상적인 Windows 프로세스에 코드를 삽입하여 시스템을 준비합니다.

마지막으로, Torg 스틸러가 메모리에서 실행되어 데이터 유출 활동을 시작합니다.

ClickFix 및 기타 기만적인 배포 방법

Torg는 기존의 감염 경로 외에도 ClickFix라는 기법을 통해 확산됩니다. 이 방법은 사용자가 악성 명령어를 복사하고 실행하도록 유도하는데, 이러한 명령어는 종종 정상적인 명령으로 위장되어 있습니다. 일반적으로 PowerShell 스크립트 형태의 이 명령어는 실행되면 감염 과정을 시작하고 악성코드를 자동으로 다운로드합니다.

사회공학적 전술 및 기술적 난독화와 결합된 이러한 배포 방식은 Torg를 매우 효과적이고 위험한 위협으로 만들며, 발견 즉시 제거 및 조치가 필요합니다.