Alert: nowy malware Torg Grabber atakuje 728 portfele krypto

Torg Grabber, nowo zidentyfikowane złośliwe oprogramowanie typu infostealer, obrało za cel 728 rozszerzeń, którymi są popularne portfele krypto, działające w ramach 850 dodatków do przeglądarek. Malware jest już aktywnie wykorzystywane w atakach, a jego głównym zadaniem jest eksfiltracja fraz seed, kluczy prywatnych oraz tokenów sesji poprzez zaszyfrowane kanały komunikacji. Wykrycie zagrożenia przez standardowe narzędzia ochrony końcowej często następuje zbyt późno, co stawia użytkowników portfeli przeglądarkowych w grupie najwyższego ryzyka.
Badacze z Gen Digital udokumentowali to zagrożenie po prześledzeniu łańcucha ładowania oprogramowania. W ciągu trzymiesięcznego okresu rozwoju zebrano 334 próbki kodu, co potwierdza, że nie jest to jedynie teoretyczny projekt, lecz działająca operacja typu Malware-as-a-Service (MaaS) z konkretnymi operatorami.
Model biznesowy MaaS sprawia, że walka z tym zagrożeniem jest wyjątkowo trudna, ponieważ oddziela twórców złośliwego kodu od partnerów zajmujących się jego dystrybucją. Według ekspertów z Bridewell, taka struktura pozwala na szybkie dostosowywanie metod ataku do różnych grup ofiar i utrudnia skuteczną identyfikację sprawców.
Mechanizm ataku: jak Torg Grabber infekuje portfele krypto
Infekcja rozpoczyna się od programu ładującego (droppera) ukrytego pod nazwą GAPI_Update.exe. Jest to paczka o rozmiarze 60 MB, dystrybuowana za pośrednictwem infrastruktury Dropbox. Po uruchomieniu, program wypakowuje trzy niegroźnie wyglądające pliki DLL do folderu lokalnego, aby zmylić systemy bezpieczeństwa, a następnie wyświetla fałszywy pasek postępu aktualizacji Windows Security.
Ten proces trwa dokładnie 420 sekund i zawiera animowaną grafikę ASCII. Opóźnienie jest celowe, ma bowiem stworzyć pozory legalnej instalacji, podczas gdy w tle wdrażany jest właściwy ładunek (payload). Finalny plik wykonywalny przyjmuje losowe nazwy, takie jak v4jkqh.exe czy hkjpy08.exe, i próbuje wyłączyć śledzenie zdarzeń systemu Windows (ETW), aby uniknąć wykrycia behawioralnego.
🚨 CRYPTO THEFT MALWARE: New “Torg Grabber” infostealer targets 728 cryptocurrency wallets.
— CyberAlertsHQ (@CyberAlertsHQ) March 25, 2026
The malware is designed to harvest wallet data and enable theft of digital assets.
Crypto wallets remain a primary target for financially motivated attackers.
Po pełnym wdrożeniu Torg Grabber skanuje 25 wariantów przeglądarek Chromium oraz 8 wersji Firefox. Oprócz danych z portfeli krypto, malware atakuje również Discorda, Steam, Telegram, klientów VPN i FTP oraz menedżery haseł. Dane są archiwizowane w pamięci RAM lub przesyłane w częściach przez punkty końcowe Cloudflare przy użyciu szyfrowania ChaCha20 z uwierzytelnianiem HMAC-SHA256.
Skala zagrożenia: co oznacza liczba 728 portfeli?
Liczba 728 nie jest przypadkowa. Odzwierciedla ona precyzyjnie skonfigurowaną listę niemal wszystkich liczących się portfeli krypto przeglądarkowych. Logika ataku opiera się na masowym zbieraniu danych, niezależnie od tego, jakiego konkretnego portfela używa ofiara. Najbardziej narażeni są użytkownicy self-custody korzystający z MetaMask (ponad 30 mln użytkowników miesięcznie), Phantom i podobnych gorących portfeli, w tym portfeli bez KYC.

Ryzyko dla użytkowników dzieli się na dwie kategorie. Osoby przechowujące frazy seed w pamięci przeglądarki, plikach tekstowych lub menedżerach haseł ryzykują całkowitą utratę środków przy pojedynczej infekcji. Choć aktywa na giełdach nie są bezpośrednim celem tego konkretnego wektora, kradzież tokenów sesji z przeglądarki może umożliwić hakerom dostęp do kont giełdowych, jeśli użytkownik jest w danej chwili zalogowany.
Użytkownicy powinni zachować szczególną czujność wobec wszelkich plików o nazwie GAPI_Update.exe. Zgodnie z analizami ANY.RUN, autentyczne aktualizacje systemu Windows są zawsze realizowane poprzez oficjalne menu ustawień systemowych, a nie za pomocą samodzielnych plików wykonywalnych pojawiających się w folderach tymczasowych użytkownika.
Analiza Gen Digital ujawniła powiązania operacji z rosyjskim ekosystemem cyberprzestępczym, identyfikując tagi ośmiu operatorów w binariach. Infrastruktura Torg Grabber stale ewoluuje, przechodząc od prostych metod przesyłania danych przez Telegram do zaawansowanego modelu REST API, co sugeruje, że lista 728 atakowanych portfeli krypto będzie w przyszłości tylko rosła.
Zastrzeżenie: Kryptowaluty to klasa aktywów o wysokim ryzyku. Niniejszy artykuł ma charakter informacyjny i nie stanowi porady inwestycyjnej. Możesz stracić cały swój kapitał.