حدد باحثو الأمن السيبراني في Gen Digital برمجيات خبيثة جديدة تُعرف باسم Torg Grabber، تستهدف 728 إضافة لمحفظة العملات المشفرة عبر 850 إضافة للمتصفح، وتعمل كعملية برمجيات خبيثة كخدمة (MaaS) حية مع تجميع 334 عينة فريدة بين ديسمبر 2025 وفبراير 2026.
تقوم البرمجيات الخبيثة باستخراج عبارات البذور، المفاتيح الخاصة، ورموز الجلسة عبر قنوات مشفرة قبل أن تسجل معظم أدوات النقطة النهائية اكتشافها، باستخدام حزمة خبيثة متنكرة كترقية شرعية لمتصفح Chrome (GAPI_Update.exe) التي تقوم بنشر شريط تقدم مزيف لتحديث أمان Windows. تستهدف التهديدات 25 متصفح Chromium و8 إصدارات من Firefox، مع توجيه بيانات الاستخراج عبر بنية Cloudflare باستخدام تشفير ChaCha20 ومصادقة HMAC-SHA256.
تتطور البرمجيات الخبيثة بنشاط، مع تسجيل خوادم جديدة للتحكم والقيادة (C2) أسبوعياً وارتباط ما لا يقل عن 40 علامة مشغل بنظام الجريمة السيبرانية الروسي.
آلية الهجوم والتسليم
سلسلة الإصابة الأولية
تتنكر الحزمة الخبيثة كـ GAPI_Update.exe، وهي حزمة InnoSetup بحجم 60 ميغابايت موزعة من بنية Dropbox. تقوم باستخراج ثلاثة مكتبات DLL غير ضارة إلى %LOCALAPPDATA%\Connector\ لإنشاء بصمة تبدو نظيفة، ثم تطلق شريط تقدم مزيف لتحديث أمان Windows يعمل لمدة 420 ثانية بالضبط أثناء نشر الحمولة. يتم إسقاط الملف التنفيذي النهائي تحت أسماء عشوائية في C:\Windows\ عبر العينات الموثقة. واحدة من العينات الملتقطة بحجم 13 ميغابايت أطلقت dllhost.exe وحاولت تعطيل تتبع الأحداث لـ Windows قبل أن يتم إنهاؤها خلال التنفيذ بسبب الكشف السلوكي.
بنية الاستخراج
يتم أرشفة البيانات في ملف ZIP في الذاكرة أو تتدفق على شكل قطع، ثم يتم توجيهها عبر نقاط النهاية في Cloudflare باستخدام رؤوس HMAC-SHA256 X-Auth-Token لكل طلب وتشفير ChaCha20. تطورت البنية التحتية من النماذج الأولية التي استخدمت بروتوكولات TCP مشفرة مخصصة معتمدة على Telegram إلى اتصال HTTPS مُوجه عبر Cloudflare، يدعم تحميل البيانات على شكل قطع وتوصيل الحمولة.
نطاق الأهداف
تغطية المتصفح والمحفظة
تستهدف Torg Grabber 25 متصفح Chromium و8 إصدارات من Firefox، محاولاً سرقة بيانات الاعتماد، الكوكيز، وبيانات التعبئة التلقائية. من بين 850 إضافة للمتصفح تستهدفها، هناك 728 مخصصة لمحافظ العملات المشفرة، تغطي “أساساً كل محفظة تشفير تم تصورها من قبل تفاؤل البشر.” لاحظ الباحثون: “الأسماء الكبيرة كلها موجودة—MetaMask، Phantom، TrustWallet، Coinbase، Binance، Exodus، TronLink، Ronin، OKX، Keplr، Rabby، Sui، Solflare—لكن القائمة لا تتوقف عند الأسماء الكبيرة.”
أهداف إضافية
بجانب محافظ التشفير، تستهدف البرمجيات الخبيثة 103 إضافات لكلمات المرور، الرموز، والمصادقين، بما في ذلك LastPass، 1Password، Bitwarden، KeePass، NordPass، Dashlane، ProtonPass، و2FAAuth، GAuth، TOTP Authenticator. كما تستهدف معلومات من Discord، Telegram، Steam، تطبيقات VPN، تطبيقات FTP، عملاء البريد الإلكتروني، مديري كلمات المرور، وتطبيقات محافظ العملات المشفرة على سطح المكتب. يمكن للبرمجيات الخبيثة تشكيل ملف تعريف للمضيف، إنشاء بصمة الأجهزة، توثيق البرمجيات المثبتة (بما في ذلك 24 أداة لمكافحة الفيروسات)، التقاط لقطات شاشة، وسرقة الملفات من مجلدات سطح المكتب والمستندات.
القدرات التقنية والتطور
مكافحة التحليل والتحايل
تتميز البرمجيات الخبيثة بعدة آليات لمكافحة التحليل، وتشفير متعدد الطبقات، وتستخدم استدعاءات نظام مباشرة وتحميل عاكس للتحايل، حيث تعمل الحمولة النهائية بالكامل في الذاكرة. في 22 ديسمبر 2025، أضافت Torg Grabber تجاوز تشفير التطبيقات (ABE) للتغلب على نظام حماية الكوكيز في Chrome (وأيضاً Brave، Edge، Vivaldi، وOpera).
هيكل برمجيات كخدمة
حددت تحليل Gen Digital أكثر من 40 علامة مشغل مدمجة في الثنائيات: أسماء مستعارة، معرفات دفعات مشفرة بالتاريخ، ومعرفات مستخدمين من Telegram تربط المشغلين بنظام الجريمة السيبرانية الروسي. يسمح نموذج MaaS للمشغلين الفرديين بنشر شفرة مخصصة بعد التسجيل، مما يوسع سطح الهجوم إلى ما وراء التكوين الأساسي. كما وصفه باحثو Gen Digital، تطورت Torg Grabber من نقاط تسليم Telegram إلى “واجهة برمجة تطبيقات REST ذات جودة إنتاج تعمل مثل ساعة سويسرية غارقة في السم.”
تقييم المخاطر
مستخدمو الحفظ الذاتي
يواجه مستخدمو الحفظ الذاتي الذين يخزنون عبارات البذور في تخزين المتصفح، أو ملفات نصية، أو مديري كلمات المرور تعريض محفظتهم للخطر بالكامل عند إصابة واحدة. يعني منطق استهداف الإضافات أن Torg Grabber تحصد أي بيانات اعتماد لمحفظة موجودة على أي جهاز مصاب، بغض النظر عما إذا كان المستخدم هو الهدف المقصود.
مستخدمو محافظ التبادل والأجهزة
لا تتعرض الأصول المحتفظ بها في التبادل مباشرة لهذه الهجمة، حيث تستهدف البرمجيات الخبيثة مخازن بيانات الاعتماد المحلية، وليس واجهات برمجة تطبيقات التبادل على نطاق واسع. ومع ذلك، يمكن أن يؤدي سرقة رموز الجلسات من تخزين المتصفح إلى الكشف عن حسابات التبادل المتصلة إذا كانت جلسات تسجيل الدخول نشطة. يواجه مستخدمو محافظ الأجهزة خطرًا غير مباشر فقط إذا تم تخزين عبارات البذور رقميًا.
الأسئلة الشائعة
كيف تصيب Torg Grabber الأجهزة؟
تُسلم البرمجيات الخبيثة عبر حزمة خبيثة متنكرة كترقية شرعية لمتصفح Chrome (GAPI_Update.exe) موزعة من بنية Dropbox. تقوم بنشر شريط تقدم مزيف لتحديث أمان Windows يعمل لمدة 420 ثانية أثناء تثبيت الحمولة، باستخدام الهندسة الاجتماعية للحفاظ على ثقة المستخدم أثناء الإصابة.
ما هي محافظ العملات المشفرة الأكثر عرضة للخطر؟
تستهدف البرمجيات الخبيثة 728 إضافة لمحافظ عبر 25 متصفح Chromium و8 إصدارات من Firefox، بما في ذلك MetaMask، Phantom، TrustWallet، Coinbase Wallet، Binance Wallet، Exodus، TronLink، Ronin، OKX، Keplr، Rabby، Sui، وSolflare. أي مستخدم يقوم بتشغيل إضافات محافظ قائمة على المتصفح معرض للخطر مباشرة.
كيف يمكن للمستخدمين حماية أنفسهم من Torg Grabber؟
يجب على المستخدمين تجنب تنزيل البرمجيات من مصادر غير موثوقة، والشك في مطالبات التحديث المزيفة، والنظر في استخدام محافظ الأجهزة للاحتفاظ بكميات كبيرة من العملات المشفرة مع تخزين عبارات البذور في وضع عدم الاتصال. يجب على المؤسسات حظر النطاقات الخبيثة المعروفة ومراقبة مؤشرات التسلل الموثقة من قبل Gen Digital.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
