Torg Grabber是一种新发现的信息窃取恶意软件,针对850个浏览器插件中的728个加密货币钱包扩展程序,目前已在活跃部署中。该恶意软件通过加密渠道窃取助记词、私钥和会话令牌,大多数终端工具甚至还未检测到攻击事件。使用基于浏览器钱包的自托管用户是主要攻击目标。
Gen Digital研究人员通过追踪域名信誉数据中的加载器链,最终在三个月的开发窗口中收集了334个样本,记录了这一威胁。这不是概念验证,而是已识别运营者的实时恶意软件即服务(MaaS)操作。
关键要点
威胁范围:Torg Grabber扫描850个浏览器扩展程序,其中728个是加密货币钱包目标,涵盖25个Chromium和8个Firefox浏览器变体。
攻击方法:投放器伪装成合法的Chrome更新(GAPI_Update.exe,60 MB),通过虚假的420秒Windows安全更新进度条部署有效载荷,然后使用ChaCha20加密和HMAC-SHA256认证通过Cloudflare基础设施外泄数据。
风险人群:浏览器扩展钱包用户——MetaMask、Phantom及类似热钱包——面临直接的凭证盗窃风险;硬件钱包用户仅当助记词以数字方式存储时才面临间接风险。
机制:Torg Grabber恶意软件如何攻击加密货币钱包
感染链以伪装为GAPI_Update.exe的投放器开始——这是一个从Dropbox基础设施分发的60 MB InnoSetup包。它将三个良性DLL提取到%LOCALAPPDATA%Connector中以建立干净的足迹,然后启动一个恰好运行420秒的虚假Windows安全更新进度条,包含通过csc.exe编译的动画ASCII艺术。
延迟是故意的:它在有效载荷部署时创建一个合理的安装窗口。最终的可执行文件以随机名称——v4jkqh.exe、hkjpy08.exe、ln3dkgz.exe——放入C:Windows。一个捕获的13 MB实例生成了dllhost.exe,并试图在行为检测中途终止执行前禁用Windows事件跟踪。
部署后,除了加密货币钱包外,Torg Grabber还针对25个Chromium浏览器、8个Firefox变体、Discord、Steam、Telegram、VPN客户端、FTP客户端、电子邮件客户端和密码管理器。数据被存档到内存中的ZIP或分块流式传输。外泄通过Cloudflare端点进行,使用每个请求的HMAC-SHA256 X-Auth-Token头部和ChaCha20加密——这是生产级架构,而非临时工具。
自托管信号:728个钱包的实际含义
728不是一个任意数字。它代表了一个故意的配置扫描,涵盖了每个具有可测量安装量的主要基于浏览器的钱包。仅MetaMask就有超过3000万月活跃用户。
扩展目标逻辑意味着Torg Grabber不需要找到特定受害者;它会收集任何受感染机器上存在的钱包凭证。
更广泛的风险清晰地分叉。将助记词存储在浏览器存储、文本文件或密码管理器中的自托管用户在单次感染中面临完整的钱包泄露。交易所持有的资产不会直接暴露于此特定攻击向量,因为恶意软件针对的是本地凭证存储,而非大规模交易所API。但如果登录会话处于活动状态,浏览器存储中的会话令牌盗窃可能会暴露连接的交易所账户。
如果Torg Grabber的MaaS运营者基础扩大,并且Gen Digital对其REST API基础设施的监控表明正在积极迭代,钱包目标列表将会增长。728这个数字是当前快照,而非上限。类似的信息窃取器如Vidar和RedLine多年前就已经标准化了这种模式;Torg Grabber正在以更结构化的基础设施执行相同的策略。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/27/%e6%96%b0%e5%9e%8btorg-grabber%e6%81%b6%e6%84%8f%e8%bd%af%e4%bb%b6%e7%9e%84%e5%87%86728%e4%b8%aa%e5%8a%a0%e5%af%86%e8%b4%a7%e5%b8%81%e9%92%b1%e5%8c%85/
