Нов малициозен софтвер Torg Grabber за крадење информации напаѓа 728 крипто паричници

Нов малициозен софтвер за кражба на информации, наречен Torg Grabber, краде чувствителни податоци од 850 екстензии на прелистувачи, од кои повеќе од 700 се поврзани со криптовалутни паричници.

Почетниот пристап се добива преку техниката ClickFix, со преземање контрола врз clipboard-от и измама на корисникот да изврши злонамерна PowerShell команда.

Според истражувачите од компанијата за сајбер-безбедност Gen Digital, Torg Grabber активно се развива, со 334 уникатни примероци креирани во период од три месеци (декември 2025 – февруари 2026), како и нови command-and-control (C2) сервери што се регистрираат секоја недела.

Покрај крипто-паричниците, Torg Grabber краде податоци и од:

• 103 менаџери за лозинки
• алатки за двофакторска автентикација (2FA)
• 19 апликации за белешки

Брза еволуција

Во технички извештај објавен оваа недела, истражувачите од Gen Digital наведуваат дека првичните верзии на Torg Grabber користеле Telegram и сопствен енкриптиран TCP протокол за ексфилтрација на податоци.

На 18 декември 2025 година, овие механизми биле напуштени и заменети со HTTPS конекција преку Cloudflare инфраструктура. Овој метод поддржува пренос на податоци во делови (chunked upload) и испорака на payload-и.

Овој малициозен софтвер вклучува повеќе механизми за избегнување анализа, повеќеслојна обфускација и користи директни syscalls и reflective loading за да се сокрие, при што финалниот payload се извршува целосно во меморија.

На 22 декември 2025 година, Torg Grabber додал можност за заобиколување на App-Bound Encryption (ABE) за да ја надмине заштитата на cookies во прелистувачи како Chrome, Brave, Edge, Vivaldi и Opera – техника што ја користат и други инфостилери.

Истражувачите откриле и посебна алатка наречена Underground, која се користи за извлекување податоци од прелистувачи. Таа вбризгува DLL директно во прелистувачот (reflective injection) за да пристапи до Chrome COM Elevation Service и да го извлече главниот енкрипциски клуч – метод сличен на оној кај VoidStealer.

Обемни можности за кражба на податоци

Според Gen Digital, Torg Grabber таргетира:

• 25 Chromium-базирани прелистувачи
• 8 варијанти на Firefox

Целта е кражба на:

• креденцијали (логин податоци)
• cookies
• autofill информации

Од 850 таргетирани екстензии:

• 728 се крипто-паричници, што практично ги опфаќа речиси сите познати wallet решенија

Меѓу нив се:

• MetaMask
• Phantom
• Trust Wallet
• Coinbase
• Binance
• Exodus
• TronLink
• Ronin
• OKX
• Keplr
• Rabby
• Sui
• Solflare

Но листата не завршува тука – опфаќа и помалку познати проекти со мал број корисници.

Таргетирани се и други чувствителни алатки

Малициозниот софтвер исто така напаѓа:

• 103 екстензии за лозинки, токени и 2FA
  (LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass и други)

Дополнително, собира податоци од:

• Discord
• Telegram
• Steam
• VPN апликации
• FTP клиенти
• email клиенти
• десктоп крипто-паричници

Напредни функции

Torg Grabber може:

• да го профилира системот и да креира hardware fingerprint
• да евидентира инсталиран софтвер (вклучувајќи 24 антивирусни алатки)
• да прави screenshot-и од екранот
• да краде фајлови од Desktop и Documents

Исто така, може да извршува shellcode на компромитираниот уред, кој се испорачува од C2 серверот во ChaCha-енкриптирана и zlib-компресирана форма.

Брз раст и закана

Gen Digital предупредува дека:

• Torg Grabber се развива многу брзо
• секоја недела се регистрираат нови C2 домени
• бројот на оператори расте (идентификувани се 40 различни „tags“)

Ова го прави сериозна и еволуирачка закана, особено за корисници на криптовалути и оние што чуваат чувствителни податоци во прелистувачи.

Извори:

• Bleeping Computer – New Torg Grabber infostealer malware targets 728 crypto wallets Bleeping Computer