Malware 'Torg Grabber' Baru Menargetkan 728 Dompet Kripto

CryptoNews.com · 2026-03-27T09:46:44+00:00

Torg Grabber, malware pencuri informasi yang baru diidentifikasi, menargetkan 728 ekstensi dompet kripto dari 850 add-on browser, dan saat ini sudah dalam penyebaran aktif.Malware ini mengekstraksi frase seed, kunci pribadi, dan token sesi melalui saluran terenkripsi sebelum sebagian besar alat endpoint mencatat a

CryptoNews.com

2026-03-27 09:46:44

Torg Grabber, malware infostealer yang baru diidentifikasi, menargetkan 728 ekstensi dompet kripto di 850 add-on browser, dan sudah dikerahkan secara aktif.

Malware ini mengekfiltrasi seed phrase, private key, dan session token melalui kanal terenkripsi sebelum sebagian besar alat endpoint mendaftarkan peristiwa deteksi. Pengguna self-custody yang menjalankan dompet berbasis browser adalah permukaan paparan utama.

Peneliti Gen Digital mendokumentasikan ancaman ini setelah menelusuri rantai loader melalui data reputasi domain, yang pada akhirnya mengompilasi 334 sampel dalam jendela pengembangan tiga bulan. Ini bukan bukti konsep. Ini adalah operasi Malware-as-a-Service yang masih berjalan dengan operator yang teridentifikasi.

Poin Utama:

Cakupan Ancaman: Torg Grabber memindai 850 ekstensi browser, 728 di antaranya ditujukan untuk dompet kripto, di 25 varian browser Chromium dan 8 varian Firefox.
Metode Serangan: Dropper menyamar sebagai pembaruan Chrome yang sah (GAPI_Update.exe, 60 MB), menerapkan payload melalui bilah progres Windows Security Update palsu selama 420 detik, lalu mengekfiltrasi data menggunakan enkripsi ChaCha20 dengan autentikasi HMAC-SHA256 melalui infrastruktur Cloudflare.
Siapa yang Berisiko: Pengguna dompet berbasis ekstensi browser — MetaMask, Phantom, dan hot wallet sejenis — menghadapi pencurian kredensial langsung; pengguna hardware wallet menghadapi risiko tidak langsung hanya jika seed phrase disimpan secara digital.

Temukan: Presale kripto terbaik yang kini mendapatkan momentum institusional

Mekanisme: Cara Malware Torg Grabber Menjalankan Serangan ke Dompet Kripto

Rantai infeksi dimulai dengan dropper yang disamarkan sebagai GAPI_Update.exe — paket InnoSetup berukuran 60 MB yang didistribusikan dari infrastruktur Dropbox. Ia mengekstrak tiga DLL yang tampak tidak berbahaya ke %LOCALAPPDATA%\Connector\ untuk membangun jejak yang terlihat bersih, lalu menjalankan bilah progres Windows Security Update palsu selama tepat 420 detik, lengkap dengan seni ASCII animasi yang dikompilasi melalui csc.exe. Penundaan ini disengaja: penundaan tersebut menciptakan jendela instalasi yang masuk akal saat payload diterapkan.

Eksekusi terakhir menjatuhkan file dengan nama yang diacak — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — ke C:\Windows\ di antara sampel yang didokumentasikan. Satu instance berukuran 13 MB yang tertangkap memunculkan dllhost.exe dan mencoba menonaktifkan Event Tracing for Windows sebelum deteksi berbasis perilaku menghentikannya di tengah eksekusi.

Setelah penerapan,

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.