Исследователи в области кибербезопасности компании Gen Digital выявили новое вредоносное ПО для кражи информации, Torg Grabber, которое нацелено на 728 расширений криптовалютных кошельков в 850 браузерных дополнениях, функционирующее как операция по предоставлению вредоносного ПО как услуги (MaaS) с 334 уникальными образцами, собранными между декабрем 2025 года и февралем 2026 года.
Вредоносное ПО экстрагирует сид-фразы, приватные ключи и токены сессий через зашифрованные каналы до того, как большинство инструментов конечной точки зарегистрируют обнаружение, используя дроппер, замаскированный под легитимное обновление Chrome (GAPI_Update.exe), которое разворачивает фейковую индикаторную панель обновления безопасности Windows. Угроза нацелена на 25 браузеров на базе Chromium и 8 вариантов Firefox, с экстракцией данных, направленной через инфраструктуру Cloudflare с использованием шифрования ChaCha20 и аутентификации HMAC-SHA256.
Вредоносное ПО активно разрабатывается, с новыми серверами командного и контрольного центра (C2), зарегистрированными еженедельно, и как минимум 40 тегами операторов, связанными с российской экосистемой киберпреступности.
Механизм атаки и доставка
Цепочка начальной инфекции
Дроппер замаскирован под GAPI_Update.exe, пакет InnoSetup размером 60 МБ, распространяемый через инфраструктуру Dropbox. Он извлекает три безвредных DLL в %LOCALAPPDATA%\Connector, чтобы создать чистый след, затем запускает фейковую индикаторную панель обновления безопасности Windows, работающую ровно 420 секунд, пока загружается полезная нагрузка. Финальный исполняемый файл сохраняется под случайными именами в C:\Windows\ в задокументированных образцах. Один захваченный экземпляр размером 13 МБ создал dllhost.exe и попытался отключить трассировку событий для Windows, прежде чем поведенческое обнаружение остановило его во время выполнения.
Инфраструктура экстракции данных
Данные архивируются в ZIP в памяти или передаются порциями, затем направляются через конечные точки Cloudflare с использованием заголовков HMAC-SHA256 X-Auth-Token на каждый запрос и шифрования ChaCha20. Инфраструктура развивалась от первоначальных сборок, использующих основанные на Telegram и кастомные зашифрованные TCP-протоколы, к HTTPS-соединению, направленному через Cloudflare, поддерживающему загрузку данных порциями и доставку полезной нагрузки.
Объем целей
Охват браузеров и кошельков
Torg Grabber нацеливается на 25 браузеров на базе Chromium и 8 вариантов Firefox, пытаясь украсть учетные данные, куки и данные автозаполнения. Из 850 расширений браузера, на которые он нацелен, 728 предназначены для криптовалютных кошельков, охватывая «по сути каждый криптовалютный кошелек, когда-либо задуманной человеческим оптимизмом». Исследователи отметили: «Все громкие имена здесь — MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare, — но список не ограничивается только крупными именами».
Дополнительные цели
Помимо криптовалютных кошельков, вредоносное ПО нацелено на 103 расширения для паролей, токенов и аутентификаторов, включая LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass и 2FAAuth, GAuth, TOTP Authenticator. Оно также нацелено на информацию из Discord, Telegram, Steam, VPN-приложений, FTP-приложений, почтовых клиентов, менеджеров паролей и настольных приложений для криптовалютных кошельков. Вредоносное ПО может профилировать хост, создавать аппаратный отпечаток, документировать установленное программное обеспечение (включая 24 инструмента антивируса), делать снимки экрана и красть файлы из папок Desktop и Documents.
Технические возможности и эволюция
Антианализ и уклонение
Вредоносное ПО имеет несколько механизмов антианализа, многослойное обфускацию и использует прямые системные вызовы и отражающую загрузку для уклонения, выполняя финальную полезную нагрузку полностью в памяти. 22 декабря 2025 года Torg Grabber добавил обход шифрования, привязанного к приложению (ABE), чтобы обойти систему защиты куки Chrome (и Brave, Edge, Vivaldi и Opera).
Структура Malware-as-a-Service
Анализ Gen Digital выявил более 40 тегов операторов, встроенных в бинарные файлы: никнеймы, дата-кодированные идентификаторы партий и идентификаторы пользователей Telegram, связывающие операторов с российской экосистемой киберпреступности. Модель MaaS позволяет отдельным операторам развертывать пользовательский shellcode после регистрации, расширяя поверхность атаки за пределами базовой конфигурации. Как описали исследователи Gen Digital, Torg Grabber эволюционировал от мертвых точек Telegram к «REST API промышленного уровня, который работал как швейцарские часы, погруженные в яд».
Оценка риска
Пользователи самоуправления
Пользователи самоуправления, хранящие сид-фразы в браузерном хранилище, текстовых файлах или менеджерах паролей, сталкиваются с полной компрометацией кошелька при одной инфекции. Логика нацеливания на расширения означает, что Torg Grabber собирает любые учетные данные кошелька, которые доступны на любой зараженной машине, независимо от того, является ли пользователь предполагаемой целью.
Пользователи бирж и аппаратных кошельков
Активы, хранящиеся на бирже, не подвергаются напрямую этому вектору атаки, поскольку вредоносное ПО нацелено на локальные хранилища учетных данных, а не на API биржи в больших масштабах. Однако кража токенов сессий из браузерного хранилища может подвергнуть связанные учетные записи биржи риску, если сессии входа активны. Пользователи аппаратных кошельков подвергаются косвенному риску только если сид-фразы хранятся в цифровом виде.
Часто задаваемые вопросы
Как Torg Grabber заражает устройства?
Вредоносное ПО доставляется через дроппер, замаскированный под легитимное обновление Chrome (GAPI_Update.exe), распространяемое через инфраструктуру Dropbox. Оно разворачивает фейковую индикаторную панель обновления безопасности Windows, работающую в течение 420 секунд, пока устанавливается полезная нагрузка, используя социальную инженерию для поддержания доверия пользователя во время инфекции.
Какие криптовалютные кошельки находятся в наибольшем риске?
Вредоносное ПО нацеливается на 728 расширений кошельков в 25 браузерах на базе Chromium и 8 браузерах Firefox, включая MetaMask, Phantom, TrustWallet, Coinbase Wallet, Binance Wallet, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui и Solflare. Любой пользователь, использующий расширения кошельков на базе браузера, находится под прямой угрозой.
Как пользователи могут защитить себя от Torg Grabber?
Пользователи должны избегать загрузки программного обеспечения из ненадежных источников, быть подозрительными к фейковым запросам на обновление и рассмотреть возможность использования аппаратных кошельков для значительных криптоактивов с сид-фразами, хранящимися в оффлайн. Организации должны блокировать известные вредоносные домены и следить за индикаторами компрометации, задокументированными Gen Digital.
