Ladrón de Torg
Torg es un malware altamente peligroso que roba información y está diseñado para extraer datos confidenciales de los sistemas infectados y transmitirlos a ciberdelincuentes a través de una infraestructura basada en API. Se distribuye bajo un modelo de Malware-as-a-Service (MaaS), lo que lo hace accesible a una amplia gama de actores maliciosos. Una vez detectado en un dispositivo, su eliminación inmediata es fundamental para evitar una mayor filtración de datos.
Tabla de contenido
Amplias capacidades de segmentación de navegadores
Una de las principales fortalezas de Torg reside en su capacidad para comprometer una amplia variedad de navegadores web. En concreto, ataca navegadores basados en Chromium, como Chrome, Edge, Brave y Opera, así como navegadores basados en Firefox. En total, puede extraer datos de decenas de navegadores.
Este malware es capaz de acceder a las credenciales de inicio de sesión almacenadas, incluidas las contraseñas guardadas y las cookies. Además, está diseñado para eludir o descifrar los mecanismos de seguridad del navegador destinados a proteger esta información, lo que hace que incluso los datos protegidos sean vulnerables al robo.
Explotación de extensiones de navegador y complementos sensibles
Torg amplía significativamente su alcance al atacar las extensiones de navegador. Es capaz de extraer datos de más de 800 extensiones, muchas de ellas asociadas a monederos de criptomonedas, incluyendo opciones muy utilizadas como MetaMask y Phantom. Además, ataca más de 100 extensiones relacionadas con la seguridad, como gestores de contraseñas y herramientas de autenticación de dos factores.
Además de las herramientas financieras, el malware también recopila información de diversas extensiones para tomar notas. Estas extensiones suelen almacenar datos confidenciales del usuario, como contraseñas, notas personales y otra información sensible, lo que las convierte en objetivos valiosos para los atacantes.
Robo masivo de monederos de criptomonedas
Torg representa una grave amenaza para los usuarios de criptomonedas, ya que ataca tanto las aplicaciones de billetera basadas en navegador como las de escritorio. Puede extraer datos confidenciales de más de 30 programas de billetera de escritorio, incluidos Atomic, AtomicDEX, Bitcoin Core, Daedalus, Electrum, Ethereum, Exodus, Monero, MyEtherWallet y WalletWasabi.
El malware es capaz de robar información altamente sensible, como claves de recuperación de monederos, claves privadas y datos de sesión. Este nivel de acceso permite a los atacantes tomar el control total de los activos de criptomonedas.
Dirigido a datos de comunicación, juegos y sistemas
Torg extiende sus capacidades de robo de datos a una amplia gama de aplicaciones y servicios. Puede extraer tokens de Discord escaneando las bases de datos de LevelDB, lo que permite el acceso no autorizado a cuentas sin necesidad de credenciales de inicio de sesión. También captura datos de sesiones de Telegram, lo que podría otorgar acceso a sesiones de usuarios activos, y roba archivos de configuración de Steam que pueden usarse para secuestrar o suplantar cuentas de juego.
Otros objetivos incluyen:
- Clientes VPN (ExpressVPN, NordVPN, OpenVPN, PIA, ProtonVPN, Surfshark, WireGuard, Windscribe), herramientas FTP y de acceso remoto (FileZilla, mRemoteNG, MobaXterm, Total Commander, WinSCP) y clientes de correo electrónico como Outlook y Thunderbird.
- Plataformas de juegos (Battle.net, GOG Galaxy, Minecraft, Origin/EA, Rockstar Games, Ubisoft Connect), junto con archivos confidenciales almacenados en las carpetas Escritorio y Documentos.
- El impacto: Graves riesgos para la privacidad y las finanzas.
Torg opera silenciosamente en segundo plano, recopilando una amplia gama de información confidencial sin el conocimiento del usuario. Esto incluye credenciales de inicio de sesión, datos financieros, archivos personales y tokens de acceso a la cuenta.
Debido a su amplio alcance, las infecciones pueden tener graves consecuencias, como robo de identidad, usurpación de cuentas, pérdidas financieras y violaciones de la privacidad a largo plazo. Su capacidad para comprometer múltiples plataformas simultáneamente la hace particularmente destructiva.
Cómo Torg infecta los sistemas
El proceso de infección suele comenzar cuando los usuarios descargan y ejecutan archivos maliciosos disfrazados de contenido legítimo. Estos archivos suelen incluir software pirateado, aplicaciones modificadas, instaladores falsos o trucos para juegos. La carga inicial, conocida como dropper, instala secretamente componentes maliciosos adicionales en el sistema.
La cadena de ataque implica varias etapas sofisticadas:
- El programa malicioso despliega malware oculto utilizando técnicas de ofuscación y cifrado para evadir la detección.
- El código malicioso puede ejecutarse directamente en la memoria, evitando la detección basada en disco.
- Un cargador prepara el sistema ocultando procesos o inyectando código en procesos legítimos de Windows.
Finalmente, el programa Torg se ejecuta en memoria, comenzando sus actividades de exfiltración de datos.
ClickFix y otros métodos de distribución engañosos
Además de los vectores de infección tradicionales, Torg también se propaga mediante una técnica conocida como ClickFix. Este método manipula a los usuarios para que copien y ejecuten comandos maliciosos, a menudo disfrazados de instrucciones legítimas. Estos comandos suelen ser scripts de PowerShell que, una vez ejecutados, inician el proceso de infección y descargan automáticamente el malware.
Combinados con tácticas de ingeniería social y ofuscación técnica, estos métodos de distribución convierten a Torg en una amenaza altamente efectiva y peligrosa que exige atención y eliminación inmediatas en caso de ser detectada.
