- O malware Torg Grabber mira 728 carteiras de criptomoedas em 850 extensões de navegador, abrangendo 25 variantes do Chromium e 8 do Firefox, e já está em operação ativa.
- O dropper se apresenta como uma atualização legítima do Chrome (GAPI_Update.exe, 60 MB) e utiliza uma barra de progresso falsa de atualização de segurança do Windows em 420 segundos para entregar o payload.
- Dados são exfiltrados usando ChaCha20 com autenticação HMAC-SHA256 e enviados por meio de infraestrutura da Cloudflare, antes que ferramentas de endpoint registrem detecção.
- Usuários de carteiras baseadas em navegador — como MetaMask e Phantom — estão diretamente em risco de roubo de credenciais; usuários de hardware wallet ficam expostos apenas se as sementes forem armazenadas digitalmente.
- O ataque funciona via um modelo de Malware-as-a-Service, com operadores identificados e um conjunto de mais de 334 amostras em três meses de desenvolvimento, indicando uma operação já em estágio produtivo.
O malware Torg Grabber foi identificado como um infostealer que mira extensões de carteiras de criptomoedas. Em operação ativa, ele já aponta para 728 carteiras entre 850 add-ons de navegador, com foco em usuários que utilizam carteiras baseadas no navegador. O ataque chega por meio de um MaaS (Malware-as-a-Service) com operadores ocultos e pronta entrega.
Pesquisadores da Gen Digital rastrearam a cadeia de carregamento por meio de dados de reputação de domínio, reunindo 334 amostras em um intervalo de três meses. O grupo não desenvolveu apenas um projeto conceitual; está em operação real, com operadores identificados. A ofensiva utiliza infraestrutura de envio de dados com criptografia e autenticação para evitar detecção precoce.
O alcance do ataque envolve 25 navegadores Chromium e 8 variantes do Firefox, além de apps como Discord, Steam e clientes de VPN. O alvo principal são carteiras que operam no navegador, como MetaMask e Phantom, com risco direto de roubo de credenciais. Usuários de hardware wallet ficam expostos apenas indiretamente, caso armazenamento digital de sementes ocorra.
Mechanism: execução do ataque contra carteiras
O dropper é disfarçado de GAPI_Update.exe, um pacote InnoSetup de cerca de 60 MB distribuído por Dropbox. Ele extrai três DLLs neutras para %LOCALAPPDATA%Connector e inicia uma barra de progresso de atualização do Windows com exatamente 420 segundos, simulando uma instalação. A payload é implantada durante a demora.
Os executáveis finais aparecem com nomes aleatórios — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — instalados em C:Windows conforme amostras documentadas. Um sample de 13 MB chegou a criar dllhost.exe e tentou desativar a Event Tracing for Windows, sendo interrompido pela detecção.
Após a implantação, o Torg Grabber varre 25 navegadores Chromium, 8 variantes do Firefox, além de apps como Discord, Steam, Telegram e gerenciadores de senhas, buscando credenciais locais. Dados são agregados em ZIP na memória ou enviados em blocos para endpoints da Cloudflare, com criptografia ChaCha20 e autenticação HMAC-SHA256.
Quem está em risco e implicações
A configuração de 728 alvos representa o conjunto de carteiras baseadas no navegador com maior volume de instalação. O MetaMask, por exemplo, conta com dezenas de milhões de usuários ativos mensais, o que amplia a superfície de ataque sem exigir vítima específica. As credenciais obtidas podem comprometer sessões ativas e reduzir o controle sobre ativos digitais.
O risco de hardware wallets não é direto; sementes armazenadas localmente em navegadores, arquivos de texto ou gerenciadores podem ser comprometidas. Já ativos mantidos em exchanges não sofrem exposição direta pela vectorização atual, que foca armazenamentos locais de credenciais e tokens de sessão.
Panorama da operação e sinais de evolução
A análise aponta mais de 40 marcadores operacionais nos binários, incluindo apelidos, IDs de lote codificados e IDs de usuários do Telegram, conectando oito operadores a um ecossistema de cybercrime. O modelo MaaS permite que operadores lançem shellcodes adicionais após registro, ampliando a superfície de ataque ao longo do tempo.
A operação evoluiu de pontos de entrega em Telegram para uma infraestrutura de REST API que funciona com alta precisão, segundo a Gen Digital. A lista de alvos pode se expandir conforme o modelo avança, mantendo a coleta de credenciais de carteiras como objetivo central.
Entre na conversa da comunidade