Torg Grabber, недавно обнаруженный вредоносный инфостилер, нацелен на 728 криптокошельков среди 850 расширений для браузеров, и уже активно развертывается.
Вредоносное ПО эксфильтрует сид-фразы, приватные ключи и сессионные токены по зашифрованным каналам до того, как большинство инструментов конечных точек зарегистрируют событие обнаружения. Основной поверхностью риска являются пользователи с самостоятельным хранением (self-custody), использующие браузерные кошельки.
Исследователи Gen Digital задокументировали угрозу, отследив цепочку загрузчика по данным репутации доменов, в результате чего было собрано 334 образца за трехмесячный период разработки. Это не proof-of-concept. Это действующая операция Malware-as-a-Service с идентифицированными операторами.
- Масштаб угрозы: Torg Grabber сканирует 850 расширений браузеров, из них 728 нацелены на криптокошельки, в 25 вариантах браузеров на базе Chromium и 8 вариантах Firefox.
- Метод атаки: Дроппер маскируется под легитимное обновление Chrome (GAPI_Update.exe, 60 МБ), развертывает полезную нагрузку через фальшивую 420-секундную панель прогресса обновления безопасности Windows, затем эксфильтрует данные, используя шифрование ChaCha20 с аутентификацией HMAC-SHA256 через инфраструктуру Cloudflare.
- Кто в зоне риска: Пользователи кошельков в виде расширений браузеров — Meta*Mask, Phantom и аналогичные горячие кошельки — сталкиваются с прямой кражей учетных данных; пользователи аппаратных кошельков подвергаются косвенному риску только в том случае, если сид-фразы хранятся в цифровом виде.
Механизм: Как вредоносное ПО Torg Grabber осуществляет атаку на криптокошельки
Цепочка заражения начинается с дроппера, замаскированного под GAPI_Update.exe — пакета InnoSetup размером 60 МБ, распространяемого из инфраструктуры Dropbox. Он извлекает три безвредных DLL-файла в %LOCALAPPDATA%\Connector\ для создания внешне чистого следа, затем запускает фальшивую панель прогресса обновления безопасности Windows, работающую ровно 420 секунд, с анимированной ASCII-графикой, скомпилированной через csc.exe. Задержка преднамеренна: она создает правдоподобное окно для установки, пока развертывается полезная нагрузка.
Финальный исполняемый файл сбрасывается под случайными именами — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — в C:\Windows\ в задокументированных образцах. Один захваченный 13-мегабайтный экземпляр породил dllhost.exe и попытался отключить Event Tracing for Windows, прежде чем поведенческое обнаружение прервало его на середине выполнения.
После развертывания Torg Grabber нацеливается на 25 браузеров на базе Chromium, 8 вариантов Firefox, Discord, Steam, Telegram, VPN-клиенты, FTP-клиенты, почтовые клиенты и менеджеры паролей в дополнение к криптокошелькам. Данные архивируются в ZIP-архив в памяти или передаются порциями. Маршруты эксфильтрации проходят через конечные точки Cloudflare с использованием заголовков X-Auth-Token HMAC-SHA256 и шифрования ChaCha20 для каждого запроса — это производственная архитектура, а не импровизированные инструменты.
Анализ Gen Digital выявил более 40 тегов операторов, встроенных в бинарные файлы: никнеймы, пакетные идентификаторы, закодированные датой, и идентификаторы пользователей Telegram, связывающие восемь операторов с российским экосистемой киберпреступности. Модель MaaS позволяет отдельным операторам развертывать пользовательский шелл-код после регистрации, расширяя поверхность атаки за пределы базовой конфигурации. Как описали исследователи Gen Digital, Torg Grabber эволюционировал от тайников в Telegram до «производственного REST API, работающего как отравленные швейцарские часы».
Сигнал о самостоятельном хранении: Что на самом деле означают 728 кошельков
728 — это не произвольное число. Оно представляет собой целенаправленный охват конфигурации, каждый крупный браузерный кошелек с измеримым объемом установки. Только Meta*Mask насчитывает более 30 миллионов активных пользователей в месяц. Логика нацеливания на расширения означает, что Torg Grabber не нужно искать конкретную жертву; он собирает любые учетные данные кошелька, присутствующие на любой зараженной машине.
Более широкий риск четко разделяется. Пользователи с самостоятельным хранением, хранящие сид-фразы в хранилище браузера, текстовых файлах или менеджерах паролей, сталкиваются с полной компрометацией кошелька при одном заражении. Активы, хранящиеся на биржах, не подвергаются прямому воздействию этого конкретного вектора атаки, вредоносное ПО нацелено на локальные хранилища учетных данных, а не на API бирж в больших масштабах. Однако кража сессионных токенов из хранилища браузера может скомпрометировать подключенные биржевые аккаунты, если сеансы входа активны.
Если база операторов MaaS Torg Grabber расширится, а мониторинг инфраструктуры REST API со стороны Gen Digital указывает на активную итерацию, список целей для кошельков будет расти. Цифра 728 — это текущий снимок, а не предел. Сравнимые инфостилеры, такие как Vidar и RedLine, нормализовали эту модель много лет назад; Torg Grabber выполняет тот же сценарий с более структурированной инфраструктурой.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Balaha
