Voleur de Torg
Torg est un logiciel malveillant extrêmement dangereux, conçu pour extraire des données sensibles des systèmes infectés et les transmettre à des cybercriminels via une infrastructure basée sur une API. Distribué selon un modèle de type « malware-as-a-service » (MaaS), il est accessible à un large éventail d'acteurs malveillants. Dès sa détection sur un appareil, sa suppression immédiate est cruciale pour éviter toute compromission de données supplémentaire.
Table des matières
Capacités étendues de ciblage des navigateurs
L'un des principaux atouts de Torg réside dans sa capacité à compromettre un large éventail de navigateurs web. Il cible notamment les navigateurs basés sur Chromium tels que Chrome, Edge, Brave et Opera, ainsi que ceux basés sur Firefox. Au total, il peut extraire des données de plusieurs dizaines de navigateurs.
Ce logiciel malveillant est capable d'accéder aux identifiants de connexion enregistrés, notamment les mots de passe et les cookies. Il est également conçu pour contourner ou déchiffrer les mécanismes de sécurité du navigateur destinés à protéger ces informations, rendant ainsi les données, même sécurisées, vulnérables au vol.
Exploitation des extensions de navigateur et des modules complémentaires sensibles
Torg étend considérablement son champ d'action en ciblant les extensions de navigateur. Il est capable d'extraire des données de plus de 800 extensions, dont beaucoup sont associées à des portefeuilles de cryptomonnaies, notamment des solutions très répandues comme MetaMask et Phantom. De plus, il cible plus de 100 extensions liées à la sécurité, telles que les gestionnaires de mots de passe et les outils d'authentification à deux facteurs.
Outre les outils financiers, le logiciel malveillant collecte également des informations provenant de diverses extensions de prise de notes. Ces extensions stockent souvent des données sensibles telles que des mots de passe, des notes personnelles et d'autres informations confidentielles, ce qui en fait des cibles de choix pour les pirates.
Vols massifs de portefeuilles de cryptomonnaies
Torg représente une menace sérieuse pour les utilisateurs de cryptomonnaies en ciblant les portefeuilles numériques, qu'ils soient basés sur un navigateur ou installés sur un ordinateur. Il peut extraire des données sensibles de plus de 30 portefeuilles numériques, dont Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet et WalletWasabi.
Ce logiciel malveillant est capable de dérober des informations hautement sensibles telles que les phrases de récupération des portefeuilles, les clés privées et les données de session. Ce niveau d'accès permet aux attaquants de prendre le contrôle total des actifs en cryptomonnaie.
Ciblage des données de communication, de jeu et de système
Torg étend ses capacités de vol de données à un large éventail d'applications et de services. Il peut extraire les jetons Discord en analysant les bases de données LevelDB, permettant ainsi un accès non autorisé aux comptes sans identifiants de connexion. Il capture également les données de session Telegram, donnant potentiellement accès aux sessions utilisateur actives, et dérobe les fichiers de configuration Steam qui peuvent être utilisés pour pirater ou usurper des comptes de jeu.
Les autres cibles comprennent :
- Les clients VPN (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), les outils FTP et d'accès à distance (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) et les clients de messagerie tels qu'Outlook et Thunderbird
- Les plateformes de jeux (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), ainsi que les fichiers sensibles stockés dans les dossiers Bureau et Documents
- L'impact : Risques graves en matière de confidentialité et de finances
Torg fonctionne discrètement en arrière-plan, collectant une grande variété d'informations sensibles à l'insu de l'utilisateur. Il s'agit notamment des identifiants de connexion, des données financières, des fichiers personnels et des jetons d'accès aux comptes.
Du fait de son large spectre de ciblage, les infections peuvent entraîner de graves conséquences telles que l'usurpation d'identité, le piratage de comptes, des pertes financières et des atteintes durables à la vie privée. Sa capacité à compromettre simultanément plusieurs plateformes la rend particulièrement destructrice.
Comment Torg infecte les systèmes
Le processus d'infection débute généralement lorsque les utilisateurs téléchargent et exécutent des fichiers malveillants déguisés en contenu légitime. Il s'agit souvent de logiciels piratés, d'applications crackées, de faux installateurs ou de codes de triche pour les jeux. La charge utile initiale, appelée « dropper », installe secrètement des composants malveillants supplémentaires sur le système.
La chaîne d'attaque comprend plusieurs étapes sophistiquées :
- Le programme d'installation déploie un logiciel malveillant caché utilisant des techniques d'obfuscation et de chiffrement pour échapper à la détection.
- Le code malveillant peut s'exécuter directement en mémoire, évitant ainsi la détection sur disque.
- Un chargeur prépare le système en masquant des processus ou en injectant du code dans des processus Windows légitimes.
Enfin, le voleur de données Torg est exécuté en mémoire, commençant ses activités d'exfiltration.
ClickFix et autres méthodes de distribution trompeuses
Outre les vecteurs d'infection classiques, Torg se propage également par une technique appelée ClickFix. Cette méthode incite les utilisateurs à copier et exécuter des commandes malveillantes, souvent dissimulées sous forme d'instructions légitimes. Il s'agit généralement de scripts PowerShell qui, une fois exécutés, lancent le processus d'infection et téléchargent automatiquement le logiciel malveillant.
Associées à des tactiques d'ingénierie sociale et à une obscurcissement technique, ces méthodes de distribution font de Torg une menace extrêmement efficace et dangereuse qui exige une attention et une suppression immédiates si elle est détectée.
