Phần mềm độc hại mới 'Torg Grabber' nhắm vào 728 ví tiền điện tử

Torg Grabber, một loại malware infostealer mới được xác định, nhắm mục tiêu vào 728 tiện ích mở rộng ví crypto trên 850 tiện ích bổ sung trình duyệt, và nó đã được triển khai hoạt động.

Malware này lấy cắp cụm từ hạt giống, khóa riêng và mã phiên thông qua các kênh mã hóa trước khi hầu hết các công cụ đầu cuối ghi nhận một sự kiện phát hiện. Người dùng tự quản lý chạy ví dựa trên trình duyệt là bề mặt tiếp xúc chính.

Các nhà nghiên cứu Gen Digital đã ghi nhận mối đe dọa này sau khi theo dõi một chuỗi tải về thông qua dữ liệu uy tín miền, cuối cùng tổng hợp được 334 mẫu trong một khoảng thời gian phát triển ba tháng. Đây không phải là một bằng chứng khái niệm. Đây là một hoạt động Malware-as-a-Service trực tiếp với các nhà điều hành đã được xác định.

Điểm chính:

• Phạm vi mối đe dọa: Torg Grabber quét 850 tiện ích mở rộng trình duyệt, 728 trong số đó là mục tiêu ví crypto, trên 25 biến thể trình duyệt Chromium và 8 biến thể Firefox.
• Phương pháp tấn công: Dropper giả mạo như một bản cập nhật Chrome hợp pháp (GAPI_Update.exe, 60 MB), triển khai payload thông qua một thanh tiến trình Windows Security Update giả mạo kéo dài 420 giây, sau đó lấy cắp dữ liệu bằng mã hóa ChaCha20 với xác thực HMAC-SHA256 thông qua hạ tầng Cloudflare.
• Ai có nguy cơ: Người dùng ví tiện ích mở rộng trình duyệt — MetaMask, Phantom và các ví nóng tương đương — đối mặt với việc đánh cắp thông tin xác thực trực tiếp; người dùng ví phần cứng chỉ đối mặt với rủi ro gián tiếp nếu cụm từ hạt giống được lưu trữ kỹ thuật số.

Khám phá: Những đợt bán crypto tốt nhất hiện đang thu hút sự chú ý từ các tổ chức

Cơ chế: Cách Torg Grabber Malware thực hiện cuộc tấn công vào ví Crypto

Chuỗi lây nhiễm bắt đầu với một dropper được ngụy trang thành GAPI_Update.exe — một gói InnoSetup 60 MB được phân phối từ hạ tầng Dropbox. Nó trích xuất ba DLL vô hại vào %LOCALAPPDATA%\Connector\ để tạo ra một dấu vết sạch sẽ, sau đó khởi động một thanh tiến trình Windows Security Update giả mạo chạy chính xác trong 420 giây, kèm theo nghệ thuật ASCII động được biên soạn qua csc.exe. Sự trì hoãn là có chủ đích: nó tạo ra một khoảng thời gian cài đặt có thể xảy ra trong khi payload được triển khai.

Chương trình thực thi cuối cùng được thả với các tên ngẫu nhiên — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — vào C:\Windows\ trên các mẫu đã được ghi nhận. Một trường hợp được ghi lại có kích thước 13 MB đã tạo ra dllhost.exe và cố gắng vô hiệu hóa Theo dõi sự kiện cho Windows trước khi phát hiện hành vi chấm dứt nó giữa chừng.

Sau khi triển khai, Torg Grabber nhắm vào 25 trình duyệt Chromium, 8 biến thể Firefox, Discord, Steam, Telegram, các ứng dụng VPN, các ứng dụng FTP, các ứng dụng email và các trình quản lý mật khẩu ngoài các ví crypto. Dữ liệu được lưu trữ vào một tệp ZIP trong bộ nhớ hoặc được phát trực tuyến theo từng khối. Việc lấy cắp dữ liệu diễn ra qua các điểm cuối Cloudflare sử dụng tiêu đề HMAC-SHA256 X-Auth-Token cho mỗi yêu cầu và mã hóa ChaCha20 — một kiến trúc cấp sản xuất, không phải công cụ tạm thời.

Phân tích của Gen Digital đã xác định hơn 40 thẻ nhà điều hành được nhúng trong các tệp nhị phân: biệt danh, ID lô mã hóa theo ngày, và ID người dùng Telegram liên kết tám nhà điều hành với hệ sinh thái tội phạm mạng Nga. Mô hình MaaS có nghĩa là các nhà điều hành cá nhân có thể triển khai mã shell tùy chỉnh sau khi đăng ký, mở rộng bề mặt tấn công vượt ra ngoài cấu hình cơ bản. Như các nhà nghiên cứu Gen Digital mô tả, Torg Grabber đã phát triển từ các điểm rơi Telegram thành “một REST API cấp sản xuất hoạt động như một chiếc đồng hồ Thụy Sĩ bị nhúng độc.”

Khám phá: Những đồng crypto tốt nhất để đa dạng hóa danh mục đầu tư của bạn

Tín hiệu tự quản lý: 728 ví thực sự có nghĩa là gì

728 không phải là một con số tùy ý. Nó đại diện cho một cuộc quét cấu hình có chủ đích, mỗi ví dựa trên trình duyệt lớn với khối lượng cài đặt có thể đo lường. Chỉ riêng MetaMask đã có hơn 30 triệu người dùng hoạt động hàng tháng. Logic nhắm mục tiêu vào tiện ích mở rộng có nghĩa là Torg Grabber không cần phải tìm một nạn nhân cụ thể; nó thu hoạch bất kỳ thông tin xác thực ví nào có trên bất kỳ máy tính bị nhiễm nào.

Rủi ro rộng hơn được phân chia rõ ràng. Người dùng tự quản lý lưu trữ cụm từ hạt giống trong bộ nhớ trình duyệt, tệp văn bản, hoặc trình quản lý mật khẩu đối mặt với việc ví bị xâm phạm hoàn toàn chỉ từ một lần nhiễm. Tài sản được giữ trên sàn giao dịch không bị phơi bày trực tiếp với vector tấn công cụ thể này, malware nhắm vào các kho lưu trữ thông tin xác thực cục bộ, không phải API sàn giao dịch ở quy mô lớn. Nhưng việc đánh cắp mã phiên từ bộ nhớ trình duyệt có thể làm lộ các tài khoản sàn giao dịch liên kết nếu các phiên đăng nhập đang hoạt động.

Nếu cơ sở nhà điều hành MaaS của Torg Grabber mở rộng, và việc giám sát hạ tầng REST API của Gen Digital gợi ý về sự phát triển tích cực, danh sách nhắm mục tiêu ví sẽ tăng lên. Con số 728 là một bức tranh hiện tại, không phải là trần. Các infostealer tương tự như Vidar và RedLine đã chuẩn hóa mô hình này nhiều năm trước; Torg Grabber đang thực hiện cùng một kịch bản với hạ tầng có cấu trúc hơn.

Khám phá: Những đợt bán crypto tốt nhất hiện đang thu hút sự chú ý từ các tổ chức

Theo dõi chúng tôi trên Google News

Tin tức đang nóng Đề xuấtCác chủ đề Crypto phổ biếnDự đoán giá

• Chuyển đổi Blockchain của SWIFT đưa XRP trở lại tâm spotlight xuyên biên giới
• Dự đoán giá Bitcoin: BTC là tài sản trú ẩn an toàn, nhà phân tích Bloomberg nói
• Dự đoán giá Bitcoin: Các xung đột Trung Đông và phân tích biểu đồ BTC USD
• Dự đoán giá XRP: Ripple sẽ hoạt động khi Đạo luật rõ ràng được thông qua?
• Ripple XRP tham gia MAS BLOOM Sandbox để thử nghiệm giải quyết tài chính thương mại RLUSD

Phân tích giá

Dự đoán giá XRP: $10 có khả thi không?

2026-03-25 20:00:00, bởi David Pokima

Phân tích giá

Elon’s Grok AI dự đoán giá của XRP, Bitcoin và Ethereum vào cuối năm 2026

2026-03-19 19:58:01, bởi Ahmed Balaha

Phân tích giá

Dự đoán giá Ethereum: Cung cấp trên sàn giao dịch thấp nhất kể từ năm 2016

2026-03-26 08:25:35, bởi David Pokima

Những đồng Crypto tốt nhất để mua ngay bây giờ vào tháng 3 năm 2026 – Top Crypto để đầu tư

2026-02-24 10:31:20, bởi Alan Draper

Những đồng tiền điện tử mới để đầu tư hôm nay – Top New Crypto Coins

2026-03-13 12:06:16, bởi Ines S. Tavares

9 đợt bán Crypto tốt nhất vào tháng 3 năm 2026

2026-03-23 11:22:28, bởi Alan Draper

7 danh sách Coinbase mới & sắp ra mắt vào tháng 3 năm 2026

2026-02-24 11:25:06, bởi Ilija Rankovic

10 danh sách Binance mới & sắp ra mắt vào năm 2026

2026-02-24 11:07:23, bởi Ilija Rankovic

12 đồng Crypto sắp bùng nổ vào năm 2026 – Lựa chọn hàng đầu của chúng tôi

2026-03-24 10:41:46, bởi Ilija Rankovic

Dự đoán giá Bitcoin (BTC) 2026, 2027 – 2030

2026-03-27 07:30:00, bởi Leon Waters

Dự đoán giá XRP (XRP) 2026, 2027 – 2030

2026-03-27 07:30:00, bởi Ihssan El Medkouri

Dự đoán giá Ethereum 2026, 2027 – 2030

2026-03-27 07:30:00, bởi Alan Draper