Ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών που ονομάζεται Torg Grabber κλέβει ευαίσθητα δεδομένα από 850 επεκτάσεις προγράμματος περιήγησης, περισσότερες από 700 από αυτές για πορτοφόλια κρυπτονομισμάτων.
Η αρχική πρόσβαση επιτυγχάνεται μέσω της τεχνικής ClickFix, παραβιάζοντας το πρόχειρο και εξαπατώντας τον χρήστη να εκτελέσει μια κακόβουλη εντολή PowerShell.
Σύμφωνα με ερευνητές της εταιρείας κυβερνοασφάλειας Gen Digital, το Torg Grabber αναπτύσσεται ενεργά, με 334 μοναδικά δείγματα που συγκεντρώνονται σε τρεις μήνες (μεταξύ Δεκεμβρίου 2025 και Φεβρουαρίου 2026) και νέους διακομιστές εντολών και ελέγχου (C2) που καταχωρούνται κάθε εβδομάδα.
Εκτός από πορτοφόλια κρυπτονομισμάτων, ο Torg Grabber κλέβει δεδομένα από 103 διαχειριστές κωδικών πρόσβασης και εργαλεία ελέγχου ταυτότητας δύο παραγόντων και 19 εφαρμογές λήψης σημειώσεων.
Ταχεία εξέλιξη
Σε μια τεχνική έκθεση αυτή την εβδομάδα, οι ερευνητές της Gen Digital αναφέρουν ότι οι αρχικές κατασκευές του Torg Grabber χρησιμοποιούσαν ένα βασισμένο στο Telegram και στη συνέχεια ένα προσαρμοσμένο, κρυπτογραφημένο πρωτόκολλο TCP για την εξαγωγή δεδομένων.
Στις 18 Δεκεμβρίου 2025, οι δύο μηχανισμοί εγκαταλείφθηκαν υπέρ μιας σύνδεσης HTTPS που δρομολογήθηκε μέσω της υποδομής Cloudflare. Η μέθοδος υποστηρίζει τεμαχισμένες μεταφορτώσεις δεδομένων και παράδοση ωφέλιμου φορτίου.
.jpg)
Πηγή: Gen Digital
Το κακόβουλο λογισμικό διαθέτει αρκετούς μηχανισμούς κατά της ανάλυσης, πολυεπίπεδη συσκότιση και χρησιμοποιεί απευθείας syscalls και ανακλαστική φόρτωση για αποφυγή, εκτελώντας το τελικό ωφέλιμο φορτίο εξ ολοκλήρου στη μνήμη.
Στις 22 Δεκεμβρίου 2025, ο Torg Grabber πρόσθεσε το App-Bound Encryption (ABE) παράκαμψη για να ξεπεράσει το σύστημα προστασίας cookie του Chrome (και του Brave, του Edge, του Vivaldi και του Opera), όπως πολλοί άλλοι κλέφτες πληροφοριών.
Ωστόσο, οι ερευνητές ανακάλυψαν επίσης ένα αυτόνομο εργαλείο που ονομάζεται Underground, που χρησιμοποιείται για την εξαγωγή δεδομένων του προγράμματος περιήγησης.
Εισάγει ένα DLL αντανακλαστικά στο πρόγραμμα περιήγησης για να αποκτήσει πρόσβαση στην υπηρεσία COM Elevation του Chrome και να εξαγάγει το κύριο κλειδί κρυπτογράφησης, μια μέθοδο που παρατηρήθηκε πρόσφατα στο VoidStealer.
Εκτεταμένες δυνατότητες κλοπής δεδομένων
Βρέθηκε η Gen Digital ότι το Torg Grabber στοχεύει 25 προγράμματα περιήγησης που βασίζονται σε Chromium και 8 παραλλαγές Firefox, προσπαθώντας να κλέψει διαπιστευτήρια, cookie και δεδομένα αυτόματης συμπλήρωσης.
Από τις 850 επεκτάσεις προγράμματος περιήγησης που στοχεύει, οι 728 αφορούν πορτοφόλια κρυπτονομισμάτων, καλύπτοντας «ουσιαστικά κάθε πορτοφόλι κρυπτογράφησης που έχει σχεδιαστεί ποτέ από την ανθρώπινη αισιοδοξία».
“Τα ονόματα των μαρκών είναι όλα εκεί – MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare”, λένε οι ερευνητές.
“Αλλά η λίστα δεν σταματά στα μεγάλα ονόματα. Συνεχίζει, βαθιά στην ουρά, προηγούμενα έργα με πλήθος εγκαταστάσεων που θα μπορούσατε να χωρέσετε σε έναν τηλεφωνικό θάλαμο.”
Εκτός από τα πορτοφόλια, το κακόβουλο λογισμικό στοχεύει επίσης μια μεγάλη λίστα με 103 επεκτάσεις για κωδικούς πρόσβασης, διακριτικά και συσκευές ελέγχου ταυτότητας: LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, Psono, Pleasant Passwordinth, GATPAu, TOFAu, hey Authenticator και Akamai MFA.
Το Torg Grabber στοχεύει επίσης πληροφορίες από Discord, Telegram, Steam, εφαρμογές VPN, εφαρμογές FTP, προγράμματα-πελάτες email, διαχειριστές κωδικών πρόσβασης και εφαρμογές πορτοφολιού κρυπτονομισμάτων για επιτραπέζιους υπολογιστές.
Το κακόβουλο λογισμικό μπορεί επίσης να προφίλ του κεντρικού υπολογιστή, να δημιουργήσει ένα δακτυλικό αποτύπωμα υλικού, να εγγράψει εγκατεστημένο λογισμικό (συμπεριλαμβανομένων 24 εργαλείων προστασίας από ιούς), να τραβήξει στιγμιότυπα οθόνης από την επιφάνεια εργασίας του χρήστη και να κλέψει αρχεία από τους φακέλους Επιφάνεια εργασίας/Έγγραφα.
Αξιοσημείωτη είναι επίσης η ικανότητά του να εκτελεί shellcode στη συσκευή που έχει παραβιαστεί, που παραδίδεται σε μορφή zlib-συμπιεσμένης με κρυπτογράφηση ChaCha από το C2.
Η Gen Digital προειδοποιεί ότι το Torg Grabber συνεχίζει να αναπτύσσεται γρήγορα, καταχωρώντας νέους τομείς C2 εβδομαδιαίως και ότι η βάση χειριστή του επεκτείνεται, με 40 ετικέτες που τεκμηριώνονται μέχρι τη στιγμή της ανάλυσης.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
