Новый вредоносный программный комплекс «Torg Grabber» нацелен на 728 криптокошельков

Torg Grabber, новый идентифицированный инфостилер, нацеливается на 728 расширений крипто-кошельков среди 850 дополнительных браузеров, и он уже активно развернут.

Вредоносное ПО экстрагирует seed-фразы, приватные ключи и токены сессий через зашифрованные каналы, прежде чем большинство инструментов конечной точки зарегистрируют событие обнаружения. Пользователи самохранилищ, использующие браузерные кошельки, являются основной уязвимой категорией.

Исследователи Gen Digital зафиксировали угрозу, проследив цепочку загрузчика через данные о репутации доменов, в конечном итоге собрав 334 образца за трехмесячный период разработки. Это не тестовая версия. Это активная операция Malware-as-a-Service с идентифицированными операторами.

Основные выводы:

• Объем угрозы: Torg Grabber сканирует 850 расширений браузера, 728 из которых являются целями крипто-кошельков, среди 25 вариантов браузеров Chromium и 8 Firefox.
• Метод атаки: Дроппер маскируется под легитимное обновление Chrome (GAPI_Update.exe, 60 МБ), развертывает нагрузку через поддельный индикатор прогресса обновления безопасности Windows на 420 секунд, затем экстрагирует данные, используя шифрование ChaCha20 с аутентификацией HMAC-SHA256 через инфраструктуру Cloudflare.
• Кто в риске: Пользователи кошельков-расширений браузера — MetaMask, Phantom и аналогичные горячие кошельки — сталкиваются с прямым кражей учетных данных; пользователи аппаратных кошельков подвергаются косвенному риску только в том случае, если seed-фразы хранятся в цифровом формате.

Узнайте: лучшие криптопродажи, набирающие институциональную популярность прямо сейчас

Механизм: Как Torg Grabber Malware осуществляет атаку на крипто-кошельки

Цепочка заражения начинается с дроппера, замаскированного под GAPI_Update.exe — пакет InnoSetup размером 60 МБ, распространяемый через инфраструктуру Dropbox. Он извлекает три безвредные DLL в %LOCALAPPDATA%\Connector, чтобы создать чистый вид, затем запускает поддельный индикатор прогресса обновления безопасности Windows, работающий ровно 420 секунд, с анимацией ASCII, собранной с помощью csc.exe. Задержка является преднамеренной: она создает правдоподобное окно установки, пока развертывается нагрузка.

Финальный исполняемый файл сохраняется под рандомизируемыми именами — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — в C:\Windows\ среди задокументированных образцов. Один захваченный экземпляр размером 13 МБ запустил dllhost.exe и попытался отключить трассировку событий для Windows, прежде чем поведенческое обнаружение остановило его в процессе выполнения.

После развертывания Torg Grabber нацеливается на 25 браузеров Chromium, 8 версий Firefox, Discord, Steam, Telegram, VPN-клиентов, FTP-клиентов, почтовых клиентов и менеджеров паролей, помимо крипто-кошельков. Данные архивируются в ZIP в памяти или передаются порциями. Экстракция происходит через конечные точки Cloudflare с использованием заголовков HMAC-SHA256 X-Auth-Token для каждого запроса и шифрования ChaCha20 — архитектура производственного уровня, а не импровизированные инструменты.

Анализ Gen Digital выявил более 40 тегов операторов, встроенных в двоичные файлы: прозвища, коды партий с датами и идентификаторы пользователей Telegram, связывающие восемь операторов с российской киберпреступной экосистемой. Модель MaaS означает, что отдельные операторы могут развертывать собственный shellcode после регистрации, расширяя поверхность атаки за пределами базовой конфигурации. Как описали исследователи Gen Digital, Torg Grabber эволюционировал от мертвых точек Telegram до “производственного REST API, который работал как швейцарские часы, замоченные в яде.”

Узнайте: лучшие крипто, чтобы диверсифицировать ваш портфель

Сигнал самохранилища: Что на самом деле означает 728 кошельков

728 — это не произвольное число. Оно представляет собой преднамеренную конфигурацию, каждый основной браузерный кошелек с измеримым объемом установки. У MetaMask больше 30 миллионов активных пользователей в месяц. Логика нацеливания на расширения означает, что Torg Grabber не нужно находить конкретную жертву; он собирает любые учетные данные кошелька, присутствующие на любом зараженном устройстве.

Широкий риск четко разделяется. Пользователи самохранилищ, хранящие seed-фразы в браузерном хранилище, текстовых файлах или менеджерах паролей, сталкиваются с полным компромиссом кошелька при единственном заражении. Активы, хранящиеся на бирже, не поддаются прямому воздействию этого конкретного вектора атаки, вредоносное ПО нацеливается на локальные хранилища учетных данных, а не на API биржи в масштабе. Но кража токенов сессий из браузерного хранилища может раскрыть связанные учетные записи биржи, если сессии входа активны.

Если база операторов MaaS Torg Grabber расширится, а мониторинг Gen Digital его инфраструктуры REST API предполагает активную итерацию, список целевых кошельков будет расти. Цифра 728 — это текущая снимка, а не потолок. Сравнимые инфостилеры, такие как Vidar и RedLine, нормализовали эту модель много лет назад; Torg Grabber выполняет тот же план с более структурированной инфраструктурой.

Узнайте: лучшие криптопродажи, набирающие институциональную популярность прямо сейчас

Подписывайтесь на нас в Google News

Популярные новости РекомендуемыеПопулярные темы криптовалютПрогнозы цен

• Поворот SWIFT на блокчейн ставит XRP в центр внимания трансграничных операций
• Прогноз цены Bitcoin: BTC безопасный актив, говорит аналитик Bloomberg
• Прогноз цены Bitcoin: Конфликты на Ближнем Востоке и анализ графиков BTC USD
• Прогноз цены XRP: Ripple запустится после принятия Закона о ясности?
• Ripple XRP входит в песочницу MAS BLOOM для пилотирования расчетов торгового финансирования RLUSD

Анализ цен

Прогноз цены XRP: Реален ли $10?

2026-03-25 20:00:00, автор: Дэвид Покима

Анализ цен

ИИ Грок Элонa предсказывает цену XRP, Bitcoin и Ethereum к концу 2026 года

2026-03-19 19:58:01, автор: Ахмед Балаха

Анализ цен

Прогноз цены Ethereum: Запасы биржи наименьшие с 2016 года

2026-03-26 08:25:35, автор: Дэвид Покима

Лучшие крипто для покупки сейчас в марте 2026 года – лучшие крипто для инвестиций

2026-02-24 10:31:20, автор: Алан Дрейпер

Новые криптовалюты для инвестиций сегодня – топ новых крипто монет

2026-03-13 12:06:16, автор: Инес С. Таварес

9 лучших криптопродаж в марте 2026 года

2026-03-23 11:22:28, автор: Алан Дрейпер

7 новых и предстоящих листингов Coinbase в марте 2026 года

2026-02-24 11:25:06, автор: Илија Ранковић

10 новых и предстоящих листингов Binance в 2026 году

2026-02-24 11:07:23, автор: Илија Ранковић

12 криптовалют, которые собираются взорваться в 2026 году – наши лучшие выборы

2026-03-24 10:41:46, автор: Илија Ранковић

Прогноз цены Bitcoin (BTC) 2026, 2027 – 2030

2026-03-27 07:30:00, автор: Леон Уотерс

Прогноз цены XRP (XRP) 2026, 2027 – 2030

2026-03-27 07:30:00, автор: Ихсан Эль Медкури

Прогноз цены Ethereum 2026, 2027 – 2030

2026-03-27 07:30:00, автор: Алан Дрейпер