Новий шкідливий програмний забезпечення «Torg Grabber» націлено на 728 криптогаманців

Torg Grabber, новий виявлений інфостилер, націлюється на 728 розширень криптогаманець через 850 браузерних додатків, і вже активно розгортається.

Шкідливе ПЗ екстрагує семена фрази, приватні ключі та токени сесій через зашифровані канали, перш ніж більшість засобів виявлення кінцевих точок зареєструє подію виявлення. Користувачі самостійно зберігаючі криптогаманці, які працюють у браузері, є основною поверхнею уразливості.

Дослідники Gen Digital зафіксували загрозу після відстеження ланцюга завантажувача через дані репутації доменів, в результаті чого було зібрано 334 зразки за три місяці розробки. Це не є доказом концепції. Це жива операція Malware-as-a-Service з ідентифікованими операторами.

Ключові висновки:

• Обсяг загрози: Torg Grabber сканує 850 розширень браузера, 728 з них є цілями криптогаманців, через 25 варіантів браузера Chromium та 8 варіантів Firefox.
• Метод атаки: Завантажувач маскується під легітимне оновлення Chrome (GAPI_Update.exe, 60 МБ), розгортає вантаж через підроблений прогрес-бар оновлення безпеки Windows тривалістю 420 секунд, а потім екстрагує дані, використовуючи шифрування ChaCha20 з аутентифікацією HMAC-SHA256 через інфраструктуру Cloudflare.
• Хто під загрозою: Користувачі гаманців розширень браузера — MetaMask, Phantom та порівнянні гарячі гаманці — стикаються з прямим крадіжкою облікових даних; користувачі апаратних гаманців стикаються з непрямим ризиком лише якщо семена фрази зберігаються в цифровому вигляді.

Досліджуйте: Найкращі криптопродажі, які набирають інституційний імпульс прямо зараз

Механізм: Як шкідливе ПЗ Torg Grabber виконує атаку на криптогаманці

Ланцюг інфекції починається з завантажувача, який маскується під GAPI_Update.exe — 60 МБ пакет InnoSetup, розповсюджений з інфраструктури Dropbox. Він витягує три безпечні DLL у %LOCALAPPDATA%\Connector\ для створення виглядного сліду, а потім запускає підроблений прогрес-бар оновлення безпеки Windows, який триває точно 420 секунд, з анімованим ASCII-артом, зкомпільованим через csc.exe. Затримка є навмисною: вона створює правдоподібне вікно установки під час розгортання вантажу.

Останній виконуваний файл скидається під випадковими іменами — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — у C:\Windows\ на основі задокументованих зразків. Один захоплений екземпляр розміром 13 МБ створив dllhost.exe і намагався вимкнути трасування подій для Windows, перш ніж поведінкове виявлення зупинило його під час виконання.

Після розгортання Torg Grabber націлюється на 25 браузерів Chromium, 8 варіантів Firefox, Discord, Steam, Telegram, VPN-клієнти, FTP-клієнти, клієнти електронної пошти та менеджери паролів, крім криптогаманців. Дані архівуються в ZIP у пам’яті або передаються частинами. Екстракція здійснюється через кінцеві точки Cloudflare з використанням заголовків HMAC-SHA256 X-Auth-Token та шифрування ChaCha20 — архітектура виробничого класу, а не імпровізовані інструменти.

Аналіз Gen Digital виявив більше 40 тегів операторів, вбудованих у бінарні файли: нікнейми, дати-енкодовані партійні ID та ID користувачів Telegram, що пов’язують вісім операторів з російською кіберзлочинною екосистемою. Модель MaaS означає, що окремі оператори можуть розгортати власний shellcode після реєстрації, розширюючи поверхню атаки за межами базової конфігурації. Як описали дослідники Gen Digital, Torg Grabber еволюціонував з мертвих передач Telegram до “виробничого REST API, який працював як швейцарський годинник, занурений у отруту.”

Досліджуйте: Найкращі криптографічні активи для диверсифікації вашого портфеля

Сигнал самостійного зберігання: Що насправді означає 728 гаманців

728 — це не випадкове число. Воно представляє цілеспрямовану конфігурацію, кожен основний браузерний гаманець з вимірюваним обсягом установки. Тільки MetaMask має понад 30 мільйонів активних користувачів щомісяця. Логіка націлювання на розширення означає, що Torg Grabber не потрібно знаходити конкретну жертву; він збирає будь-які облікові дані гаманців, що є на будь-якій інфікованій машині.

Ширший ризик чітко розділяється. Користувачі самостійного зберігання, які зберігають семена фрази в браузерному зберіганні, текстових файлах або менеджерах паролів, стикаються з повним компромісом гаманця при одній інфекції. Активи, що зберігаються на біржі, не піддаються безпосередньо цій конкретній вектору атаки, шкідливе ПЗ націлюється на локальні сховища облікових даних, а не на API біржі в масштабі. Але крадіжка токенів сесії з браузерного зберігання може піддати ризику підключені облікові записи біржі, якщо сесії входу активні.

Якщо база операторів MaaS Torg Grabber розшириться, а моніторинг Gen Digital його інфраструктури REST API вказує на активну ітерацію, список націлених гаманців зросте. Ця цифра 728 є поточним знімком, а не стелею. Порівнянні інфостилери, такі як Vidar і RedLine, нормалізували цю модель роками раніше; Torg Grabber виконує той самий сценарій з більш структурованою інфраструктурою.

Досліджуйте: Найкращі криптопродажі, які набирають інституційний імпульс прямо зараз

Слідкуйте за нами в Google Новини

Тенденції новин РекомендованіПопулярні криптографічні темиПрогнози цін

• Поворот SWIFT до блокчейну знову ставить XRP у центр уваги при трансакціях
• Прогноз ціни Bitcoin: BTC безпечний актив, говорить аналітик Bloomberg
• Прогноз ціни Bitcoin: Конфлікти на Близькому Сході та аналіз графіка BTC USD
• Прогноз ціни XRP: Ripple запуститься, коли пройде Закон про ясність?
• Ripple XRP входить у пісочницю MAS BLOOM для пілотного проекту RLUSD Trade Finance Settlement

Аналіз цін

Прогноз ціни XRP: Чи можливо $10?

2026-03-25 20:00:00, від David Pokima

Аналіз цін

Грок AI Елона прогнозує ціну XRP, Bitcoin та Ethereum до кінця 2026 року

2026-03-19 19:58:01, від Ahmed Balaha

Аналіз цін

Прогноз ціни Ethereum: Запас біржі найнижчий з 2016 року

2026-03-26 08:25:35, від David Pokima

Найкращий криптоактив для покупки зараз у березні 2026 – Топ криптоактиви для інвестування

2026-02-24 10:31:20, від Alan Draper

Нові криптовалюти для інвестування сьогодні – Топ нові криптовалюти

2026-03-13 12:06:16, від Ines S. Tavares

9 найкращих криптопродажів у березні 2026

2026-03-23 11:22:28, від Alan Draper

7 нових та майбутніх лістингів Coinbase у березні 2026

2026-02-24 11:25:06, від Ilija Rankovic

10 нових та майбутніх лістингів Binance у 2026

2026-02-24 11:07:23, від Ilija Rankovic

12 криптовалют, які мають вибухнути у 2026 році – наші топ вибори

2026-03-24 10:41:46, від Ilija Rankovic

Прогноз ціни Bitcoin (BTC) 2026, 2027 – 2030

2026-03-27 07:30:00, від Leon Waters

Прогноз ціни XRP (XRP) 2026, 2027 – 2030

2026-03-27 07:30:00, від Ihssan El Medkouri

Прогноз ціни Ethereum 2026, 2027 – 2030

2026-03-27 07:30:00, від Alan Draper