Исследователи Gen Digital сообщили об активной кампании вредоноса Torg Grabber — это инфостилер, нацеленный на 728 криптокошельковых расширений в составе 850 браузерных аддонов. Он крадёт сид-фразы, приватные ключи и токены сессий через зашифрованные каналы ещё до того, как защитные инструменты успевают среагировать. В первую очередь под ударом — пользователи самокастодиальных браузерных кошельков.
По данным Gen Digital, угрозу отследили по цепочке загрузчика и собрали 334 образца за три месяца. Это не эксперимент, а модель «вредонос как услуга» с реальными операторами. Дроппер маскируется под обновление Chrome (GAPI_Update.exe, 60 МБ), показывает фейковое «Обновление безопасности Windows» на 420 секунд и потом выкачивает данные, шифруя их ChaCha20 с аутентификацией HMAC‑SHA256 через инфраструктуру Cloudflare.
Torg Grabber сканирует 25 браузеров на Chromium и 8 вариантов Firefox, а также мессенджеры, игровую платформу, VPN/FTP/почтовые клиенты и менеджеры паролей. Распространяется с использованием Dropbox, выкладывает DLL в %LOCALAPPDATA%\Connector\, финальные EXE с случайными именами в C:\Windows\, пытается отключать Event Tracing for Windows. Данные упаковываются в ZIP в памяти или передаются порционно; запросы подписываются заголовком X‑Auth‑Token.
Обнаружены более 40 тегов операторов (ники, пакетные ID, идентификаторы в соцсетях), восемь из них связаны с русскоязычной киберпреступной средой. Прямой риск — для пользователей MetaMask, Phantom и схожих «горячих» кошельков; «железные» кошельки уязвимы, если сиды хранятся цифрово. Активные сессии могут открыть доступ и к биржевым аккаунтам.
«Torg Grabber эволюционировал от “закладок” в соцсетях к промышленному REST API, который работал как швейцарские часы, только ядовитые.»
Число 728 — текущий срез, не предел. По мере роста сети операторов список целей будет расширяться, по образцу Vidar и RedLine, но с более выстроенной инфраструктурой.