O malware Torg Grabber foi identificado como um infostealer que mira extens\u00f5es de carteiras de criptomoedas. Em opera\u00e7\u00e3o ativa, ele j\u00e1 aponta para 728 carteiras entre 850 add-ons de navegador, com foco em usu\u00e1rios que utilizam carteiras baseadas no navegador. O ataque chega por meio de um MaaS (Malware-as-a-Service) com operadores ocultos e pronta entrega.<\/p>\n
Pesquisadores da Gen Digital rastrearam a cadeia de carregamento por meio de dados de reputa\u00e7\u00e3o de dom\u00ednio, reunindo 334 amostras em um intervalo de tr\u00eas meses. O grupo n\u00e3o desenvolveu apenas um projeto conceitual; est\u00e1 em opera\u00e7\u00e3o real, com operadores identificados. A ofensiva utiliza infraestrutura de envio de dados com criptografia e autentica\u00e7\u00e3o para evitar detec\u00e7\u00e3o precoce.<\/p>\n
O alcance do ataque envolve 25 navegadores Chromium e 8 variantes do Firefox, al\u00e9m de apps como Discord, Steam e clientes de VPN. O alvo principal s\u00e3o carteiras que operam no navegador, como MetaMask e Phantom, com risco direto de roubo de credenciais. Usu\u00e1rios de hardware wallet ficam expostos apenas indiretamente, caso armazenamento digital de sementes ocorra.<\/p>\n
O dropper \u00e9 disfar\u00e7ado de GAPI_Update.exe, um pacote InnoSetup de cerca de 60 MB distribu\u00eddo por Dropbox. Ele extrai tr\u00eas DLLs neutras para %LOCALAPPDATA%Connector e inicia uma barra de progresso de atualiza\u00e7\u00e3o do Windows com exatamente 420 segundos, simulando uma instala\u00e7\u00e3o. A payload \u00e9 implantada durante a demora.<\/p>\n
Os execut\u00e1veis finais aparecem com nomes aleat\u00f3rios \u2014 v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe \u2014 instalados em C:Windows conforme amostras documentadas. Um sample de 13 MB chegou a criar dllhost.exe e tentou desativar a Event Tracing for Windows, sendo interrompido pela detec\u00e7\u00e3o.<\/p>\n
Ap\u00f3s a implanta\u00e7\u00e3o, o Torg Grabber varre 25 navegadores Chromium, 8 variantes do Firefox, al\u00e9m de apps como Discord, Steam, Telegram e gerenciadores de senhas, buscando credenciais locais. Dados s\u00e3o agregados em ZIP na mem\u00f3ria ou enviados em blocos para endpoints da Cloudflare, com criptografia ChaCha20 e autentica\u00e7\u00e3o HMAC-SHA256.<\/p>\n
A configura\u00e7\u00e3o de 728 alvos representa o conjunto de carteiras baseadas no navegador com maior volume de instala\u00e7\u00e3o. O MetaMask, por exemplo, conta com dezenas de milh\u00f5es de usu\u00e1rios ativos mensais, o que amplia a superf\u00edcie de ataque sem exigir v\u00edtima espec\u00edfica. As credenciais obtidas podem comprometer sess\u00f5es ativas e reduzir o controle sobre ativos digitais.<\/p>\n
O risco de hardware wallets n\u00e3o \u00e9 direto; sementes armazenadas localmente em navegadores, arquivos de texto ou gerenciadores podem ser comprometidas. J\u00e1 ativos mantidos em exchanges n\u00e3o sofrem exposi\u00e7\u00e3o direta pela vectoriza\u00e7\u00e3o atual, que foca armazenamentos locais de credenciais e tokens de sess\u00e3o.<\/p>\n
A an\u00e1lise aponta mais de 40 marcadores operacionais nos bin\u00e1rios, incluindo apelidos, IDs de lote codificados e IDs de usu\u00e1rios do Telegram, conectando oito operadores a um ecossistema de cybercrime. O modelo MaaS permite que operadores lan\u00e7em shellcodes adicionais ap\u00f3s registro, ampliando a superf\u00edcie de ataque ao longo do tempo.<\/p>\n
A opera\u00e7\u00e3o evoluiu de pontos de entrega em Telegram para uma infraestrutura de REST API que funciona com alta precis\u00e3o, segundo a Gen Digital. A lista de alvos pode se expandir conforme o modelo avan\u00e7a, mantendo a coleta de credenciais de carteiras como objetivo central.<\/p>\n","protected":false},"excerpt":{"rendered":"