Eine neu entdeckte Infostealer-Malware namens Torg Grabber zielt auf 728 Krypto-Wallet-Erweiterungen in 850 Browser-Add-ons ab.
Die neu identifizierte Infostealer-Malware Torg Grabber zielt auf 728 Krypto-Wallet-Erweiterungen in 850 Browser-Add-ons ab und ist bereits aktiv im Einsatz. Die Malware exfiltriert Seed-Phrasen, private Keys und Session-Tokens über verschlüsselte Kanäle, bevor die meisten Endpoint-Tools eine Erkennung registrieren. Nutzer von browserbasierten Wallets mit Selbstverwahrung sind die primäre Angriffsfläche.
Forscher von Gen Digital dokumentierten die Bedrohung nach der Rückverfolgung einer Ladungskette durch Domain-Reputation-Daten und kompilierten dabei 334 Samples über einen dreimonatigen Entwicklungszeitraum. Es handelt sich nicht um einen Proof-of-Concept, sondern um eine aktive Malware-as-a-Service-Operation mit identifizierten Betreibern.
Der Angriffsmechanismus beginnt mit einem Dropper, der sich als GAPI_Update.exe tarnt - ein 60 MB großes InnoSetup-Paket, das über Dropbox-Infrastruktur verteilt wird. Er extrahiert drei harmlose DLLs in %LOCALAPPDATA%\Connector\, um ein sauberes Erscheinungsbild zu erzeugen, und startet dann eine gefälschte Windows-Sicherheitsupdate-Fortschrittsanzeige, die genau 420 Sekunden läuft und mit animierter ASCII-Kunst via csc.exe kompiliert wurde. Die Verzögerung ist beabsichtigt: Sie schafft ein plausibles Installationsfenster, während das Payload bereitgestellt wird.
Das finale ausführbare Programm wird unter zufälligen Namen - wie v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe - in C:\Windows\ abgelegt. Ein erfasster 13 MB großer Fall erzeugte dllhost.exe und versuchte, die Ereignisverfolgung für Windows zu deaktivieren, bevor eine Verhaltenserkennung die Ausführung mitten im Prozess beendete.
Nach der Bereitstellung zielt Torg Grabber auf 25 Chromium-Browser, 8 Firefox-Varianten, Discord, Steam, Telegram, VPN-Clients, FTP-Clients, E-Mail-Clients und Passwort-Manager sowie Krypto-Wallets ab. Daten werden entweder als In-Memory-ZIP archiviert oder in Chunks gestreamt. Die Exfiltration erfolgt über Cloudflare-Endpunkte unter Verwendung pro-Anfrage HMAC-SHA256 X-Auth-Token-Header und ChaCha20-Verschlüsselung - eine produktionsreife Architektur, keine improvisierten Werkzeuge.
Die Analyse von Gen Digital identifizierte über 40 Betreiber-Tags in Binärdateien: Spitznamen, datenkodierte Batch-IDs und Telegram-Benutzer-IDs, die acht Betreiber mit dem russischen Cyberkriminalitäts-Ökosystem verbinden. Das MaaS-Modell ermöglicht es einzelnen Betreibern, nach der Registrierung benutzerdefinierten Shellcode bereitzustellen und erweitert so die Angriffsfläche über die Basis-Konfiguration hinaus.
Die Zahl 728 ist kein willkürlicher Wert. Sie repräsentiert einen gezielten Konfigurations-Sweep aller browserbasierten Wallets mit messbarem Installationsvolumen. MetaMask allein hat über 30 Millionen monatlich aktive Nutzer. Die auf Erweiterungen ausgerichtete Logik bedeutet, dass Torg Grabber keinen bestimmten Opfer finden muss; es erntet einfach alle auf einem infizierten Gerät vorhandenen Wallet-Anmeldeinformationen.
Das breitere Risiko teilt sich klar auf. Nutzer mit Selbstverwahrung, die Seed-Phrasen in Browser-Speicher, Textdateien oder Passwort-Managern speichern, erleiden bei einer einzigen Infektion einen vollständigen Wallet-Kompromiss. An Assets auf Börsen sind durch diesen spezifischen Angriffsvektor nicht direkt gefährdet, da die Malware lokale Credential-Stores und nicht Exchange-APIs im großen Stil anvisiert. Allerdings kann der Diebstahl von Session-Tokens aus dem Browser-Speicher verbundene Exchange-Konten gefährden, wenn Login-Sessions aktiv sind.
Falls sich die Betreiberbasis von Torg Grabber erweitert - und die Überwachung seiner REST-API-Infrastruktur durch Gen Digital deutet auf aktive Iteration hin - wird die Wallet-Zielliste wachsen. Die Zahl 728 ist ein aktueller Schnappschuss, kein Deckel. Vergleichbare Infostealer wie Vidar und RedLine haben dieses Modell vor Jahren normalisiert; Torg Grabber führt das gleiche Playbook mit strukturierterer Infrastruktur aus.
