Novo malware 'Torg Grabber' visa 728 carteiras de criptomoedas

Torg Grabber, um malware infostealer recém-identificado, visa 728 extensões de carteiras de criptomoedas em 850 complementos de navegador, e já está em implantação ativa.

O malware exfiltra frases-semente, chaves privadas e tokens de sessão através de canais encriptados antes que a maioria das ferramentas de endpoint registe um evento de deteção. Os utilizadores de autocustódia que executam carteiras baseadas em navegador são a principal superfície de exposição.

Pesquisadores da Gen Digital documentaram a ameaça após rastrear uma cadeia de carregadores através de dados de reputação de domínio, compilando, no final, 334 amostras ao longo de um intervalo de desenvolvimento de três meses. Isto não é uma prova de conceito. É uma operação de Malware-as-a-Service ao vivo com operadores identificados.

Principais Conclusões:

• Escopo da Ameaça: Torg Grabber escaneia 850 extensões de navegador, 728 das quais são alvos de carteiras de criptomoedas, em 25 variantes de navegador Chromium e 8 variantes do Firefox.
• Método de Ataque: O dropper disfarça-se como uma atualização legítima do Chrome (GAPI_Update.exe, 60 MB), implanta o payload através de uma falsa barra de progresso de atualização de segurança do Windows de 420 segundos, e depois exfiltra dados utilizando encriptação ChaCha20 com autenticação HMAC-SHA256 através da infraestrutura da Cloudflare.
• Quem Está em Risco: Os utilizadores de carteiras de extensões de navegador — MetaMask, Phantom e carteiras quentes comparáveis — enfrentam roubo direto de credenciais; os utilizadores de carteiras de hardware enfrentam risco indireto apenas se as frases-semente forem armazenadas digitalmente.

Descubra: As melhores pré-vendas de criptomoedas que estão ganhando impulso institucional agora

O Mecanismo: Como o Malware Torg Grabber Executa o Ataque às Carteiras de Criptomoedas

A cadeia de infecção começa com um dropper disfarçado como GAPI_Update.exe — um pacote InnoSetup de 60 MB distribuído a partir da infraestrutura do Dropbox. Extrai três DLLs benignas para %LOCALAPPDATA%\Connector\ para estabelecer uma pegada limpa, e então lança uma falsa barra de progresso de atualização de segurança do Windows que roda exatamente 420 segundos, completa com arte ASCII animada compilada via csc.exe. O atraso é deliberado: cria uma janela de instalação plausível enquanto o payload é implantado.

O executável final é dropado sob nomes aleatórios — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — em C:\Windows\ nas amostras documentadas. Uma instância capturada de 13 MB gerou dllhost.exe e tentou desativar o Event Tracing for Windows antes que a deteção comportamental o terminasse no meio da execução.

Após a implantação, Torg Grabber visa 25 navegadores Chromium, 8 variantes do Firefox, Discord, Steam, Telegram, clientes VPN, clientes FTP, clientes de email e gerenciadores de senhas, além de carteiras de criptomoedas. Os dados são arquivados em um ZIP na memória ou transmitidos em pedaços. A exfiltração ocorre através de endpoints da Cloudflare utilizando cabeçalhos HMAC-SHA256 X-Auth-Token por solicitação e encriptação ChaCha20 — uma arquitetura de grau de produção, não ferramentas improvisadas.

A análise da Gen Digital identificou mais de 40 tags de operadores embutidas em binários: apelidos, IDs de lote codificados por data e IDs de usuários do Telegram ligando oito operadores ao ecossistema de cibercrime russo. O modelo MaaS significa que operadores individuais podem implantar shellcode personalizado após o registro, expandindo a superfície de ataque além da configuração base. Como os pesquisadores da Gen Digital descreveram, Torg Grabber evoluiu de “drops” no Telegram para “uma API REST de grau de produção que funcionava como um relógio suíço mergulhado em veneno.”

Descubra: As melhores criptomoedas para diversificar o seu portfólio

O Sinal de Autocustódia: O Que 728 Carteiras Realmente Significa

728 não é um número arbitrário. Representa uma varredura de configuração deliberada, cada carteira baseada em navegador importante com volume de instalação mensurável. O MetaMask sozinho tem mais de 30 milhões de utilizadores ativos mensais. A lógica de direcionamento de extensões significa que Torg Grabber não precisa encontrar uma vítima específica; colhe qualquer credencial de carteira que esteja presente em qualquer máquina infetada.

O risco mais amplo bifurca-se claramente. Os utilizadores de autocustódia que armazenam frases-semente no armazenamento do navegador, em arquivos de texto ou em gerenciadores de senhas enfrentam comprometimento completo da carteira com uma única infecção. Os ativos mantidos em exchanges não estão diretamente expostos a este vetor de ataque específico, o malware visa armazéns de credenciais locais, não APIs de exchanges em grande escala. Mas o roubo de tokens de sessão do armazenamento do navegador pode expor contas de exchange conectadas se as sessões de login estiverem ativas.

Se a base de operadores do MaaS do Torg Grabber se expandir, e o monitoramento da infraestrutura da sua API REST pela Gen Digital sugerir iteração ativa, a lista de alvos de carteiras crescerá. O número 728 é uma instantânea atual, não um teto. Infostealers comparáveis como Vidar e RedLine normalizaram este modelo há anos; Torg Grabber está executando o mesmo manual com uma infraestrutura mais estruturada.

Descubra: As melhores pré-vendas de criptomoedas que estão ganhando impulso institucional agora

Siga-nos no Google News

Notícias em Alta
RecomendadoTemas Populares de CriptomoedasPrevisões de Preços

• A Mudança do Blockchain da SWIFT Coloca o XRP de Volta em Destaque nas Transações Transfronteiriças
• Previsão de Preço do Bitcoin: BTC Um Refúgio Seguro, Diz Analista da Bloomberg
• Previsão de Preço do Bitcoin: Conflitos no Oriente Médio e Análise do Gráfico BTC USD
• Previsão de Preço do XRP: Ripple Funciona Assim Que a Clarity Act For Aprovada?
• Ripple XRP Entra no Sandbox MAS BLOOM para Piloto de Liquidação de Financiamento de Comércio RLUSD

Análise de Preços

Previsão de Preço do XRP: É $10 Plausível?

2026-03-25 20:00:00,
por David Pokima

Análise de Preços

A IA Grok de Elon Prevê o Preço do XRP, Bitcoin e Ethereum até o Fim de 2026

2026-03-19 19:58:01,
por Ahmed Balaha

Análise de Preços

Previsão de Preço do Ethereum: Suprimento de Exchanges Mais Baixo Desde 2016

2026-03-26 08:25:35,
por David Pokima

Melhores Criptomoedas para Comprar Agora em Março de 2026 – Top Criptomoedas para Investir

2026-02-24 10:31:20,
por Alan Draper

Novas Criptomoedas para Investir Hoje – Top Novas Moedas de Cripto

2026-03-13 12:06:16,
por Ines S. Tavares

9 Melhores Pré-Vendas de Criptomoedas em Março de 2026

2026-03-23 11:22:28,
por Alan Draper

7 Novas & Futuras Listagens da Coinbase em Março de 2026

2026-02-24 11:25:06,
por Ilija Rankovic

10 Novas & Futuras Listagens da Binance em 2026

2026-02-24 11:07:23,
por Ilija Rankovic

12 Criptos Preparadas para Explodir em 2026 – As Nossas Melhores Escolhas

2026-03-24 10:41:46,
por Ilija Rankovic

Previsão de Preço do Bitcoin (BTC) 2026, 2027 – 2030

2026-03-27 07:30:00,
por Leon Waters

Previsão de Preço do XRP (XRP) 2026, 2027 – 2030

2026-03-27 07:30:00,
por Ihssan El Medkouri

Previsão de Preço do Ethereum 2026, 2027 – 2030

2026-03-27 07:30:00,
por Alan Draper