Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Torg Stealer

Torg Stealer

Tegen Mezo in Malware, Dieven
Vertalen naar:

Torg is een uiterst gevaarlijke malware die is ontworpen om gevoelige gegevens van geïnfecteerde systemen te stelen en via een API-gebaseerde infrastructuur naar cybercriminelen te verzenden. De malware wordt verspreid volgens een Malware-as-a-Service (MaaS)-model, waardoor deze toegankelijk is voor een breed scala aan kwaadwillende actoren. Zodra de malware op een apparaat is gedetecteerd, is onmiddellijke verwijdering cruciaal om verdere datalekken te voorkomen.

Uitgebreide mogelijkheden voor browsertargeting

Een van de belangrijkste sterke punten van Torg is het vermogen om een breed scala aan webbrowsers te compromitteren. Het richt zich specifiek op Chromium-gebaseerde browsers zoals Chrome, Edge, Brave en Opera, maar ook op Firefox-gebaseerde browsers. In totaal kan het gegevens uit tientallen browsers extraheren.

De malware kan toegang krijgen tot opgeslagen inloggegevens, waaronder opgeslagen wachtwoorden en cookies. Het is ook ontworpen om beveiligingsmechanismen van browsers, die bedoeld zijn om deze informatie te beschermen, te omzeilen of te decoderen, waardoor zelfs beveiligde gegevens kwetsbaar worden voor diefstal.

Misbruik maken van browserextensies en gevoelige add-ons

Torg breidt zijn bereik aanzienlijk uit door zich te richten op browserextensies. Het is in staat om gegevens te extraheren uit meer dan 800 extensies, waarvan vele gekoppeld zijn aan cryptowallets, waaronder veelgebruikte opties zoals MetaMask en Phantom. Daarnaast richt het zich op meer dan 100 beveiligingsgerelateerde extensies, waaronder wachtwoordmanagers en tools voor tweefactorauthenticatie.

Naast financiële tools verzamelt de malware ook informatie uit verschillende notitie-extensies. Deze extensies slaan vaak gevoelige gebruikersgegevens op, zoals wachtwoorden, persoonlijke notities en andere vertrouwelijke informatie, waardoor ze waardevolle doelwitten zijn voor aanvallers.

Diefstal van cryptowallets op grote schaal

Torg vormt een ernstige bedreiging voor gebruikers van cryptovaluta door zich te richten op zowel browsergebaseerde als desktopwallet-applicaties. Het kan gevoelige walletgegevens extraheren uit meer dan 30 desktopwalletprogramma's, waaronder Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet en WalletWasabi.

De malware is in staat om zeer gevoelige informatie te stelen, zoals wallet seeds, privésleutels en sessiegegevens. Dit niveau van toegang kan aanvallers in staat stellen om de volledige controle over cryptovaluta te verkrijgen.

Gericht op communicatie, gaming en systeemgegevens.

Torg breidt zijn mogelijkheden voor gegevensdiefstal uit naar een breed scala aan applicaties en diensten. Het kan Discord-tokens extraheren door LevelDB-databases te scannen, waardoor ongeautoriseerde toegang tot accounts mogelijk wordt zonder inloggegevens. Het legt ook Telegram-sessiegegevens vast, waardoor mogelijk toegang wordt verkregen tot actieve gebruikerssessies, en steelt Steam-configuratiebestanden die kunnen worden gebruikt om gameaccounts te kapen of zich voor te doen als gamers.

Aanvullende doelstellingen zijn onder meer:

  • VPN-clients (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP- en tools voor toegang op afstand (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) en e-mailclients zoals Outlook en Thunderbird.
  • Gamingplatforms (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), samen met gevoelige bestanden die zijn opgeslagen in de mappen Desktop en Documenten.
  • De gevolgen: ernstige risico's voor de privacy en de financiën.

Torg opereert geruisloos op de achtergrond en verzamelt een breed scala aan gevoelige informatie zonder medeweten van de gebruiker. Dit omvat inloggegevens, financiële gegevens, persoonlijke bestanden en toegangstokens voor accounts.

Door de brede reikwijdte van de infectie kunnen er ernstige gevolgen zijn, zoals identiteitsdiefstal, overname van accounts, financiële verliezen en langdurige schendingen van de privacy. Het feit dat de infectie meerdere platforms tegelijk kan infecteren, maakt haar bijzonder destructief.

Hoe Torg systemen infecteert

Het infectieproces begint doorgaans wanneer gebruikers kwaadaardige bestanden downloaden en uitvoeren die vermomd zijn als legitieme inhoud. Dit zijn vaak illegale software, gekraakte applicaties, nep-installatieprogramma's of game-cheats. De initiële payload, een zogenaamde dropper, installeert in het geheim extra kwaadaardige componenten op het systeem.

De aanvalsketen omvat verschillende geavanceerde fasen:

  • De dropper verspreidt verborgen malware met behulp van obfuscatie- en encryptietechnieken om detectie te omzeilen.
  • Kwaadaardige code kan rechtstreeks in het geheugen worden uitgevoerd, waardoor detectie op de schijf wordt omzeild.
  • Een loader bereidt het systeem voor door processen te verbergen of code te injecteren in legitieme Windows-processen.

Ten slotte wordt de Torg-stealer in het geheugen uitgevoerd, waarna de data-exfiltratieactiviteiten van start gaan.

ClickFix en andere misleidende distributiemethoden

Naast de traditionele infectiemethoden wordt Torg ook verspreid via een techniek die bekend staat als ClickFix. Deze methode manipuleert gebruikers om kwaadaardige commando's te kopiëren en uit te voeren, vaak vermomd als legitieme instructies. Deze commando's zijn doorgaans PowerShell-scripts die, na uitvoering, het infectieproces starten en de malware automatisch downloaden.

In combinatie met social engineering-tactieken en technische misleiding maken deze verspreidingsmethoden van Torg een zeer effectieve en gevaarlijke bedreiging die onmiddellijke aandacht en verwijdering vereist als deze wordt ontdekt.


Trending

Meest bekeken

Bezig met laden...