Malware Torg Grabber Visa 728 Extensões de Carteiras Cripto em Operação Ativa de Malware-as-a-Service

Pesquisadores de cibersegurança da Gen Digital identificaram um novo malware infostealer, Torg Grabber, que visa 728 extensões de carteiras de criptomoedas em 850 complementos de navegador, operando como uma operação de Malware-as-a-Service (MaaS) ao vivo com 334 amostras únicas compiladas entre dezembro de 2025 e fevereiro de 2026.

O malware exfiltra frases-semente, chaves privadas e tokens de sessão através de canais criptografados antes que a maioria das ferramentas de endpoint registre a deteção, utilizando um dropper disfarçado como uma atualização legítima do Chrome (GAPI_Update.exe) que implanta uma barra de progresso falsa de atualização de segurança do Windows. A ameaça visa 25 navegadores Chromium e 8 variantes do Firefox, com exfiltração de dados roteada através da infraestrutura da Cloudflare usando criptografia ChaCha20 e autenticação HMAC-SHA256.

O malware está em desenvolvimento ativo, com novos servidores de comando e controle (C2) registrados semanalmente e pelo menos 40 tags de operador ligadas ao ecossistema de cibercrime russo.

Mecanismo de Ataque e Entrega

Cadeia de Infecção Inicial

O dropper está disfarçado como GAPI_Update.exe, um pacote InnoSetup de 60 MB distribuído a partir da infraestrutura do Dropbox. Ele extrai três DLLs benignas para %LOCALAPPDATA%\Connector\ para estabelecer uma impressão limpa, em seguida, lança uma barra de progresso falsa de atualização de segurança do Windows que roda exatamente por 420 segundos enquanto o payload é implantado. O executável final é depositado sob nomes aleatórios em C:\Windows\ em amostras documentadas. Uma instância capturada de 13 MB gerou dllhost.exe e tentou desativar a Rastreabilidade de Eventos para Windows antes que a deteção comportamental o terminasse no meio da execução.

Infraestrutura de Exfiltração

Os dados são arquivados em um ZIP em memória ou transmitidos em blocos, sendo depois roteados através de endpoints da Cloudflare usando cabeçalhos HMAC-SHA256 X-Auth-Token por requisição e criptografia ChaCha20. A infraestrutura evoluiu de construções iniciais que usavam protocolos TCP criptografados personalizados e baseados em Telegram para uma conexão HTTPS roteada pela Cloudflare, suportando uploads de dados em blocos e entrega de payload.

Escopo dos Alvos

Cobertura de Navegadores e Carteiras

Torg Grabber visa 25 navegadores Chromium e 8 variantes do Firefox, tentando roubar credenciais, cookies e dados de preenchimento automático. Dos 850 complementos de navegador que visa, 728 são para carteiras de criptomoedas, cobrindo “praticamente todas as carteiras de criptomoeda já concebidas pelo otimismo humano.” Os pesquisadores notaram: “Os nomes de destaque estão todos lá—MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare—mas a lista não para nos grandes nomes.”

Alvos Adicionais

Além de carteiras de criptomoedas, o malware visa 103 extensões para senhas, tokens e autenticadores, incluindo LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass e 2FAAuth, GAuth, TOTP Authenticator. Ele também visa informações do Discord, Telegram, Steam, aplicativos VPN, aplicativos FTP, clientes de e-mail, gerenciadores de senhas e aplicações de carteira de criptomoedas para desktop. O malware pode perfilar o host, criar uma impressão digital de hardware, documentar software instalado (incluindo 24 ferramentas antivirus), tirar capturas de tela e roubar arquivos das pastas Desktop e Documents.

Capacidades Técnicas e Evolução

Anti-Análise e Evasão

O malware possui múltiplos mecanismos de anti-análise, ofuscação em múltiplas camadas e utiliza syscalls diretas e carregamento reflexivo para evasão, executando o payload final inteiramente na memória. Em 22 de dezembro de 2025, o Torg Grabber adicionou um bypass de Criptografia Vinculada ao Aplicativo (ABE) para derrotar o sistema de proteção de cookies do Chrome (e do Brave, Edge, Vivaldi e Opera).

Estrutura de Malware-as-a-Service

A análise da Gen Digital identificou mais de 40 tags de operador incorporadas em binários: apelidos, IDs de lote codificados por data e IDs de usuário do Telegram vinculando operadores ao ecossistema de cibercrime russo. O modelo MaaS permite que operadores individuais implantem shellcode personalizado após o registro, expandindo a superfície de ataque além da configuração base. Como os pesquisadores da Gen Digital descreveram, o Torg Grabber evoluiu de drops do Telegram para “uma API REST de grau de produção que funcionava como um relógio suíço mergulhado em veneno.”

Avaliação de Risco

Usuários de Auto-Custódia

Usuários de auto-custódia que armazenam frases-semente em armazenamento de navegador, arquivos de texto ou gerenciadores de senhas enfrentam uma completa comprometimento da carteira em uma única infecção. A lógica de direcionamento de extensões significa que o Torg Grabber coleta quaisquer credenciais de carteira presentes em qualquer máquina infectada, independentemente de o usuário ser o alvo pretendido.

Usuários de Carteiras de Exchanges e Hardware

Ativos mantidos por exchanges não estão diretamente expostos a este vetor de ataque, uma vez que o malware visa armazenamentos de credenciais locais, não APIs de exchanges em grande escala. No entanto, o roubo de tokens de sessão do armazenamento do navegador pode expor contas de exchanges conectadas se as sessões de login estiverem ativas. Usuários de carteira de hardware enfrentam risco indireto apenas se as frases-semente forem armazenadas digitalmente.

Perguntas Frequentes

Como o Torg Grabber infecta dispositivos?

O malware é entregue através de um dropper disfarçado como uma atualização legítima do Chrome (GAPI_Update.exe) distribuído a partir da infraestrutura do Dropbox. Ele implanta uma barra de progresso falsa de atualização de segurança do Windows que roda por 420 segundos enquanto o payload é instalado, utilizando engenharia social para manter a confiança do usuário durante a infecção.

Quais carteiras de criptomoedas estão mais em risco?

O malware visa 728 extensões de carteira em 25 navegadores Chromium e 8 Firefox, incluindo MetaMask, Phantom, TrustWallet, Coinbase Wallet, Binance Wallet, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui e Solflare. Qualquer usuário que execute extensões de carteira baseadas em navegador está em risco direto.

Como os usuários podem se proteger do Torg Grabber?

Os usuários devem evitar baixar software de fontes não confiáveis, desconfiar de prompts de atualização falsas e considerar usar carteiras de hardware para grandes holdings em criptomoedas com frases-semente armazenadas offline. As organizações devem bloquear domínios maliciosos conhecidos e monitorar os indicadores de comprometimento documentados pela Gen Digital.