Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Torg-Dieb

Torg-Dieb

Von Mezo in Malware, Diebe
Übersetzen Sie in:

Torg ist eine hochgefährliche Malware zum Datendiebstahl, die sensible Daten von infizierten Systemen extrahiert und über eine API-basierte Infrastruktur an Cyberkriminelle weiterleitet. Sie wird im Rahmen eines Malware-as-a-Service-Modells (MaaS) vertrieben und ist somit für eine Vielzahl von Angreifern zugänglich. Nach der Entdeckung auf einem Gerät ist die sofortige Entfernung entscheidend, um weiteren Datenverlust zu verhindern.

Umfangreiche Browser-Targeting-Funktionen

Eine der größten Stärken von Torg liegt in seiner Fähigkeit, eine Vielzahl von Webbrowsern zu kompromittieren. Es zielt insbesondere auf Chromium-basierte Browser wie Chrome, Edge, Brave und Opera sowie auf Firefox-basierte Browser ab. Insgesamt kann es Daten aus Dutzenden von Browsern extrahieren.

Die Schadsoftware kann auf gespeicherte Anmeldedaten, einschließlich gespeicherter Passwörter und Cookies, zugreifen. Sie ist außerdem so konzipiert, dass sie die Sicherheitsmechanismen von Browsern, die diese Informationen schützen sollen, umgeht oder entschlüsselt, wodurch selbst geschützte Daten dem Diebstahl ausgesetzt sind.

Ausnutzung von Browsererweiterungen und sensiblen Add-ons

Torg erweitert seine Reichweite erheblich durch das Ausspähen von Browsererweiterungen. Es kann Daten aus über 800 Erweiterungen extrahieren, von denen viele mit Kryptowährungs-Wallets verknüpft sind, darunter weit verbreitete Optionen wie MetaMask und Phantom. Zusätzlich zielt es auf über 100 sicherheitsrelevante Erweiterungen ab, darunter Passwortmanager und Tools für die Zwei-Faktor-Authentifizierung.

Neben Finanztools sammelt die Schadsoftware auch Informationen aus verschiedenen Notiz-Apps. Diese Apps speichern häufig sensible Nutzerdaten wie Passwörter, persönliche Notizen und andere vertrauliche Informationen und sind daher attraktive Ziele für Angreifer.

Diebstahl von Kryptowährungs-Wallets in großem Umfang

Torg stellt eine erhebliche Bedrohung für Kryptowährungsnutzer dar, da es sowohl browserbasierte als auch Desktop-Wallet-Anwendungen angreift. Es kann sensible Wallet-Daten aus über 30 Desktop-Wallet-Programmen extrahieren, darunter Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet und WalletWasabi.

Die Schadsoftware ist in der Lage, hochsensible Informationen wie Wallet-Seeds, private Schlüssel und Sitzungsdaten zu stehlen. Durch diesen Zugriff können Angreifer die vollständige Kontrolle über Kryptowährungsbestände erlangen.

Zielgruppenkommunikation, Spiele und Systemdaten

Torg erweitert seine Möglichkeiten zum Datendiebstahl auf eine Vielzahl von Anwendungen und Diensten. Es kann Discord-Tokens durch Scannen von LevelDB-Datenbanken extrahieren und so unbefugten Zugriff auf Konten ermöglichen, ohne dass Anmeldedaten erforderlich sind. Außerdem erfasst es Telegram-Sitzungsdaten und kann dadurch potenziell Zugriff auf aktive Benutzersitzungen gewähren. Darüber hinaus stiehlt es Steam-Konfigurationsdateien, die zum Übernehmen oder Imitieren von Spielkonten verwendet werden können.

Weitere Ziele sind:

  • VPN-Clients (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), FTP- und Fernzugriffstools (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) sowie E-Mail-Clients wie Outlook und Thunderbird
  • Gaming-Plattformen (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect) sowie sensible Dateien, die in den Ordnern Desktop und Dokumente gespeichert sind
  • Die Auswirkungen: Schwere Datenschutz- und Finanzrisiken

Torg arbeitet unbemerkt im Hintergrund und sammelt ohne Wissen des Nutzers eine Vielzahl sensibler Informationen. Dazu gehören Anmeldedaten, Finanzdaten, persönliche Dateien und Kontozugriffstoken.

Aufgrund seiner weitreichenden Angriffsmöglichkeiten kann eine Infektion schwerwiegende Folgen wie Identitätsdiebstahl, Kontoübernahmen, finanzielle Verluste und langfristige Datenschutzverletzungen nach sich ziehen. Die Fähigkeit, mehrere Plattformen gleichzeitig zu kompromittieren, macht ihn besonders zerstörerisch.

Wie Torg Systeme infiziert

Der Infektionsprozess beginnt typischerweise, wenn Nutzer schädliche Dateien herunterladen und ausführen, die als legitime Inhalte getarnt sind. Dabei handelt es sich häufig um Raubkopien, gecrackte Anwendungen, gefälschte Installationsprogramme oder Cheats für Spiele. Die erste Schadsoftware, der sogenannte Dropper, installiert heimlich weitere schädliche Komponenten auf dem System.

Die Angriffskette umfasst mehrere komplexe Phasen:

  • Der Dropper schleust versteckte Schadsoftware ein, die Verschleierungs- und Verschlüsselungstechniken nutzt, um der Erkennung zu entgehen.
  • Schadcode kann direkt im Arbeitsspeicher ausgeführt werden und so die Erkennung auf der Festplatte umgehen.
  • Ein Loader bereitet das System vor, indem er Prozesse verbirgt oder Code in legitime Windows-Prozesse einschleust.

Schließlich wird der Torg-Stealer im Speicher ausgeführt und beginnt mit seinen Datenexfiltrationsaktivitäten.

ClickFix und andere irreführende Vertriebsmethoden

Neben den herkömmlichen Infektionswegen verbreitet sich Torg auch über eine Technik namens ClickFix. Diese Methode verleitet Nutzer dazu, schädliche Befehle zu kopieren und auszuführen, die oft als legitime Anweisungen getarnt sind. Bei diesen Befehlen handelt es sich typischerweise um PowerShell-Skripte, die nach ihrer Ausführung den Infektionsprozess starten und die Schadsoftware automatisch herunterladen.

In Kombination mit Social-Engineering-Taktiken und technischer Verschleierung machen diese Verbreitungsmethoden Torg zu einer hochwirksamen und gefährlichen Bedrohung, die bei Entdeckung sofortige Aufmerksamkeit und Beseitigung erfordert.

 

Im Trend

Am häufigsten gesehen

Wird geladen...