Torg Grabber Malware націлений на 728 розширень криптовалютних гаманців у рамках активної операції "Active Malware-as-a-Service Operation" та "728 Crypto Wallet Extensions".

Дослідники з кібербезпеки Gen Digital виявили нове зловмисне ПЗ-інфостилер Torg Grabber, яке націлене на 728 розширень криптовалютних гаманців у 850 браузерних додатках, діє як робота зловмисного ПЗ за моделлю Malware-as-a-Service (MaaS) і використовує 334 унікальні зразки, зібрані між груднем 2025 та лютим 2026.

Шкідник ексфільтрує seed phrase (фрази відновлення), приватні ключі та токени сесій через зашифровані канали ще до того, як більшість інструментів на кінцевих пристроях починають реєструвати виявлення, використовуючи завантажувач (dropper), замаскований під законне оновлення для Chrome (GAPI_Update.exe), який розгортає фальшиву індикаторну панель прогресу Оновлення безпеки Windows. Загроза націлена на 25 браузерів Chromium і 8 варіантів Firefox, а ексфільтрацію даних спрямовують через інфраструктуру Cloudflare із шифруванням ChaCha20 та автентифікацією HMAC-SHA256.

Шкідник активно розробляється: нові сервери команд і керування (C2) реєструються щотижня, а також принаймні 40 тегів операторів пов’язані з російською екосистемою кіберзлочинності.

Механізм атаки та доставка

Початкова інфекційна ланка

Завантажувач (dropper) замаскований під GAPI_Update.exe — пакет InnoSetup обсягом 60 MB, поширюваний з інфраструктури Dropbox. Він витягує три нешкідливі DLL у %LOCALAPPDATA%\Connector\ , щоб створити «чистий» слід, а потім запускає фальшиву індикаторну панель прогресу Оновлення безпеки Windows, яка працює рівно 420 секунд, доки розгортається корисне навантаження. Кінцевий виконуваний файл скидається під рандомізованими назвами в C:\Windows\ у межах задокументованих зразків. Один перехоплений екземпляр обсягом 13 MB породив dllhost.exe та спробував вимкнути Event Tracing for Windows, перш ніж поведінкове виявлення завершило його під час виконання.

Інфраструктура ексфільтрації

Дані архівуються в ZIP у пам’яті або передаються фрагментами, після чого маршрутизуються через кінцеві точки Cloudflare із заголовками HMAC-SHA256 X-Auth-Token для кожного запиту та шифруванням ChaCha20. Інфраструктура еволюціонувала від початкових збірок, які використовували Telegram-орієнтовані та власні зашифровані TCP-протоколи, до HTTPS-з’єднання, що маршрутизується через Cloudflare, із підтримкою завантаження даних порційно (chunked) та доставки корисного навантаження.

Обсяг цілей

Покриття браузерів і гаманців

Torg Grabber націлений на 25 браузерів Chromium і 8 варіантів Firefox, намагаючись викрасти облікові дані, cookies та дані автозаповнення. Із 850 браузерних розширень, на які він націлюється, 728 призначені для криптовалютних гаманців, охоплюючи «фактично кожен криптовалютний гаманець, коли-небудь задуманий людським оптимізмом». Дослідники відзначили: “Усі флагманські назви на місці — MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare, — але перелік не закінчується на великих брендах.”

Додаткові цілі

Крім криптовалютних гаманців, шкідник націлений на 103 розширення для паролів, токенів і автентифікаторів, зокрема LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass і 2FAAuth, GAuth, TOTP Authenticator. Він також націлюється на інформацію з Discord, Telegram, Steam, VPN-додатків, FTP-додатків, поштових клієнтів, менеджерів паролів і настільних застосунків криптовалютних гаманців. Шкідник може профілювати хост, створювати апаратний відбиток, документувати встановлене програмне забезпечення (включно з 24 антивірусними інструментами), робити знімки екрана та викрадати файли з папок Desktop і Documents.

Технічні можливості та еволюція

Антианаліз і ухилення

Шкідник містить кілька механізмів антианалізу, багаторівневе обфускування, а також використовує прямі syscalls і рефлективне завантаження для ухилення, запускаючи кінцеве корисне навантаження повністю в пам’яті. 22 грудня 2025 року Torg Grabber додав обходження App-Bound Encryption (ABE), щоб протидіяти системі захисту cookie у Chrome (і Brave, Edge, Vivaldi та Opera).

Структура Malware-as-a-Service

Аналіз Gen Digital виявив понад 40 тегів операторів, вбудованих у бінарні файли: прізвиська, дати-кодовані batch ID та Telegram user IDs, які пов’язують операторів із російською екосистемою кіберзлочинності. Модель MaaS дозволяє окремим операторам розгортати власний shellcode після реєстрації, розширюючи поверхню атаки понад базову конфігурацію. Як описали це дослідники Gen Digital, Torg Grabber еволюціонував від Telegram dead drops до “продуктового REST API, який працював як швейцарський годинник, занурений у отруту”.

Оцінка ризиків

Користувачі самостійного зберігання (Self-Custody)

Користувачі self-custody, які зберігають seed phrase у сховищі браузера, текстових файлах або менеджерах паролів, стикаються з повним компрометацією гаманця після однієї інфекції. Логіка націлювання на розширення означає, що Torg Grabber вилучає будь-які облікові дані гаманця, присутні на будь-якій зараженій машині, незалежно від того, чи є користувач цільовим.

Користувачі бірж і апаратних гаманців

Активи, що зберігаються на біржі, напряму не піддаються цій векторній атаці, оскільки шкідник націлений на локальні сховища облікових даних, а не на біржові API у масштабі. Однак крадіжка токенів сесій із сховища браузера може розкрити підключені акаунти біржі, якщо активні сесії входу. Користувачі апаратних гаманців мають лише непрямий ризик, якщо seed phrase зберігаються цифрово.

Питання, що часто ставляться

Як Torg Grabber заражає пристрої?

Шкідник доставляється через завантажувач (dropper), замаскований під законне оновлення для Chrome (GAPI_Update.exe), яке розповсюджується з інфраструктури Dropbox. Він розгортає фальшиву індикаторну панель Оновлення безпеки Windows, що працює 420 секунд, поки встановлюється корисне навантаження, використовуючи соціальну інженерію для підтримання довіри користувача під час інфікування.

Які криптовалютні гаманці найбільш під ризиком?

Шкідник націлений на 728 розширень гаманців у 25 браузерах Chromium і 8 браузерах Firefox, зокрема MetaMask, Phantom, TrustWallet, Coinbase Wallet, Binance Wallet, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui та Solflare. Будь-який користувач, який запускає розширення гаманців у браузері, має прямий ризик.

Як користувачі можуть захистити себе від Torg Grabber?

Користувачі мають уникати завантаження програмного забезпечення з недовірених джерел, бути підозрілими до запитів на фальшиві оновлення та розглянути використання апаратних гаманців для суттєвих криптовалютних обсягів із seed phrase, збереженими офлайн. Організації повинні блокувати відомі зловмисні домени та здійснювати моніторинг індикаторів компрометації, задокументованих Gen Digital.