Torg Stealer

Torgは、感染したシステムから機密データを抽出し、APIベースのインフラストラクチャを介してサイバー犯罪者に送信するように設計された、非常に危険な情報窃盗マルウェアです。MaaS（Malware-as-a-Service）モデルで配布されているため、幅広い攻撃者がアクセス可能です。デバイス上で検出された場合は、さらなるデータ侵害を防ぐために、直ちに削除することが不可欠です。

高度なブラウザターゲティング機能

Torgの最大の強みの一つは、多種多様なウェブブラウザを侵害できる点にある。特に、Chrome、Edge、Brave、OperaといったChromiumベースのブラウザに加え、Firefoxベースのブラウザも標的としている。合計すると、数十種類のブラウザからデータを抽出できる。

このマルウェアは、保存されたパスワードやCookieなどのログイン認証情報にアクセスできます。また、これらの情報を保護するために設計されたブラウザのセキュリティメカニズムを回避または復号化するように設計されているため、保護されたデータでさえも盗難の危険にさらされます。

ブラウザ拡張機能と機密性の高いアドオンの悪用

Torgはブラウザ拡張機能を標的にすることで、その攻撃範囲を大幅に拡大している。800種類以上の拡張機能からデータを抽出することが可能で、その多くはMetaMaskやPhantomといった広く利用されているものを含む暗号通貨ウォレットに関連している。さらに、パスワードマネージャーや二段階認証ツールなど、100種類以上のセキュリティ関連拡張機能も標的としている。

このマルウェアは、金融ツールだけでなく、様々なメモアプリの拡張機能からも情報を収集します。これらの拡張機能には、パスワード、個人的なメモ、その他の機密情報といったユーザーの機密データが保存されていることが多く、攻撃者にとって格好の標的となります。

大規模な仮想通貨ウォレット盗難事件

Torgは、ブラウザベースのウォレットアプリケーションとデスクトップウォレットアプリケーションの両方を標的とすることで、暗号通貨ユーザーにとって深刻な脅威となります。Atomic、AtomicDEX、Bitcoin Core、Daedalus、Electrum、Ethereum、Exodus、Monero、MyEtherWallet、WalletWasabiなど、30種類以上のデスクトップウォレットプログラムから機密性の高いウォレットデータを抽出することができます。

このマルウェアは、ウォレットのシードフレーズ、秘密鍵、セッションデータといった極めて機密性の高い情報を盗み出す能力を持っています。このようなアクセス権限を与えられた攻撃者は、仮想通貨資産を完全に制御することが可能になります。

通信、ゲーム、システムデータを対象とする

Torgは、そのデータ窃盗機能を幅広いアプリケーションやサービスにまで拡大しています。LevelDBデータベースをスキャンすることでDiscordトークンを抽出し、ログイン認証情報なしでアカウントへの不正アクセスを可能にします。また、Telegramのセッションデータをキャプチャしてアクティブなユーザーセッションへのアクセスを可能にする可能性があり、ゲームアカウントの乗っ取りやなりすましに悪用される可能性のあるSteamの設定ファイルを盗み出します。

その他の標的は以下のとおりです。

• VPNクライアント（ExpressVPN、NordVPN、OpenVPN、PIA、ProtonVPN、Surfshark、WireGuard、Windscribe）、FTPおよびリモートアクセスツール（FileZilla、mRemoteNG、MobaXterm、Total Commander、WinSCP）、OutlookやThunderbirdなどのメールクライアント
• ゲームプラットフォーム（Battle.net、GOG Galaxy、Minecraft、Origin/EA、Rockstar Games、Ubisoft Connect）およびデスクトップとドキュメントフォルダに保存されている機密ファイル
• 影響：深刻なプライバシーと財務リスク

Torgはユーザーの知らないうちにバックグラウンドで静かに動作し、ログイン認証情報、財務データ、個人ファイル、アカウントアクセストークンなど、多岐にわたる機密情報を収集します。

標的範囲が広いため、感染すると個人情報の盗難、アカウントの乗っ取り、金銭的損失、長期的なプライバシー侵害など、深刻な結果を招く可能性があります。複数のプラットフォームを同時に侵害できる能力があるため、特に破壊的な脅威となります。

Torgがシステムに感染する方法

感染プロセスは通常、ユーザーが正規のコンテンツを装った悪意のあるファイルをダウンロードして実行することから始まります。これには、海賊版ソフトウェア、クラックされたアプリケーション、偽のインストーラー、ゲームのチートなどが含まれることがよくあります。ドロッパーと呼ばれる最初のペイロードは、システムに追加の悪意のあるコンポーネントを密かにインストールします。

攻撃の連鎖は、いくつかの高度な段階から構成される。

• ドロッパーは、難読化と暗号化技術を用いて隠蔽されたマルウェアを配備し、検出を回避します。
• 悪意のあるコードはメモリ上で直接実行されるため、ディスクベースの検出を回避できる可能性があります。
• ローダーは、プロセスを隠蔽したり、正規のWindowsプロセスにコードを挿入したりすることでシステムを準備します。

最後に、Torgスティーラーがメモリ上で実行され、データ漏洩活動が開始される。

ClickFixおよびその他の不正な配布方法

Torgは、従来の感染経路に加え、ClickFixと呼ばれる手法によっても拡散されます。この手法では、ユーザーを騙して悪意のあるコマンドをコピーさせ、実行させます。これらのコマンドは、多くの場合、正規の指示に見せかけています。これらのコマンドは通常PowerShellスクリプトであり、実行されると感染プロセスが開始され、マルウェアが自動的にダウンロードされます。

ソーシャルエンジニアリングの手法と技術的な難読化が組み合わさることで、Torgは非常に効果的かつ危険な脅威となり、発見された場合は直ちに注意を払い、排除する必要がある。