Torg Grabber恶意软件针对728个加密钱包扩展，在活跃的恶意软件即服务运作中。

Gen Digital的网络安全研究人员发现了一种新的信息窃取恶意软件Torg Grabber，它针对850个浏览器扩展中的728种加密货币钱包扩展，作为一种实时的恶意软件即服务（MaaS）操作，在2025年12月至2026年2月之间编译了334个独特样本。

该恶意软件通过加密通道提取种子短语、私钥和会话令牌，在大多数端点工具注册检测之前，使用伪装成合法Chrome更新的投放工具（GAPI_Update.exe）部署一个假的Windows安全更新进度条。该威胁针对25种Chromium浏览器和8种Firefox变体，数据外泄通过Cloudflare基础设施使用ChaCha20加密和HMAC-SHA256身份验证进行路由。

该恶意软件正在积极开发，每周注册新的命令与控制（C2）服务器，并至少有40个操作员标签与俄罗斯网络犯罪生态系统相关联。

攻击机制和交付

初始感染链

投放工具伪装成GAPI_Update.exe，这是一个60 MB的InnoSetup包，从Dropbox基础设施分发。它将三个无害的DLL提取到%LOCALAPPDATA%\Connector\中，以建立一个干净的足迹，然后启动一个假Windows安全更新进度条，运行时间正好为420秒，同时有效载荷部署。最终可执行文件以随机名称放置在C:\Windows\中，文档化样本中有一个捕获的13 MB实例生成dllhost.exe，并试图在行为检测中止执行之前禁用Windows事件跟踪。

外泄基础设施

数据被归档到内存中的ZIP或以块流式传输，然后通过Cloudflare端点使用每个请求的HMAC-SHA256 X-Auth-Token标头和ChaCha20加密进行路由。基础设施从最初使用基于Telegram和自定义加密TCP协议的构建演变为通过Cloudflare路由的HTTPS连接，支持分块数据上传和有效载荷交付。

目标范围

浏览器和钱包覆盖

Torg Grabber针对25种Chromium浏览器和8种Firefox变体，试图窃取凭证、Cookies和自动填充数据。在850个它所针对的浏览器扩展中，728个是针对加密货币钱包的，覆盖了“人类乐观主义所构想的几乎所有加密钱包。”研究人员指出：“所有知名品牌都在其中——MetaMask、Phantom、TrustWallet、Coinbase、Binance、Exodus、TronLink、Ronin、OKX、Keplr、Rabby、Sui、Solflare——但这个名单并不仅限于大品牌。”

其他目标

除了加密钱包，该恶意软件还针对103个扩展，用于密码、令牌和身份验证器，包括LastPass、1Password、Bitwarden、KeePass、NordPass、Dashlane、ProtonPass、2FAAuth、GAuth、TOTP身份验证器。它还从Discord、Telegram、Steam、VPN应用、FTP应用、电子邮件客户端、密码管理器和桌面加密货币钱包应用程序中提取信息。该恶意软件可以分析主机，创建硬件指纹，记录安装的软件（包括24个防病毒工具），截屏，并从桌面和文档文件夹中窃取文件。

技术能力和演变

反分析和规避

该恶意软件具有多种反分析机制、多层混淆，并使用直接系统调用和反射加载进行规避，完全在内存中运行最终有效载荷。2025年12月22日，Torg Grabber添加了应用绑定加密（ABE）绕过，以击败Chrome（以及Brave、Edge、Vivaldi和Opera）的Cookie保护系统。

恶意软件即服务结构

Gen Digital的分析发现，二进制文件中嵌入了40多个操作员标签：昵称、日期编码的批处理ID和Telegram用户ID，将操作员与俄罗斯网络犯罪生态系统联系在一起。MaaS模型允许个别操作员在注册后部署自定义shellcode，扩大攻击面超出基础配置。正如Gen Digital研究人员所描述的，Torg Grabber从Telegram的暗网转变为“一个像瑞士钟表般精准的生产级REST API，被毒药浸泡过。”

风险评估

自我保管用户

自我保管用户将种子短语存储在浏览器存储、文本文件或密码管理器中，面临在一次感染中完全钱包被攻陷的风险。扩展目标逻辑意味着Torg Grabber会收集任何感染机器上存在的任何钱包凭证，无论用户是否是预期目标。

交易所和硬件钱包用户

交易所持有的资产并未直接暴露于此攻击向量，因为该恶意软件针对的是本地凭证存储，而不是大规模的交易所API。然而，如果登录会话处于活动状态，从浏览器存储中盗取会话令牌可能会暴露连接的交易所账户。硬件钱包用户仅在种子短语以数字方式存储时面临间接风险。

常见问题解答

Torg Grabber如何感染设备？

该恶意软件通过伪装成合法Chrome更新的投放工具（GAPI_Update.exe）分发，来自Dropbox基础设施。它在有效载荷安装期间部署一个假Windows安全更新进度条，运行420秒，利用社会工程学在感染期间维持用户信任。

哪些加密货币钱包最容易受到攻击？

该恶意软件针对25种Chromium和8种Firefox浏览器中的728个钱包扩展，包括MetaMask、Phantom、TrustWallet、Coinbase Wallet、Binance Wallet、Exodus、TronLink、Ronin、OKX、Keplr、Rabby、Sui和Solflare。任何运行基于浏览器的钱包扩展的用户都面临直接风险。

用户如何保护自己免受Torg Grabber的攻击？

用户应避免从不可信来源下载软件，对假更新提示保持警惕，并考虑对重要的加密资产使用硬件钱包，将种子短语离线存储。组织应阻止已知的恶意域名，并监控由Gen Digital记录的妥协指标。