Η νέα απειλή κακόβουλου λογισμικού με την ονομασία Torg Grabber έχει εντοπιστεί και στοχεύει 728 επεκτάσεις κρυπτονομισμάτων σε 850 πρόσθετα προγράμματος περιήγησης. Το Torg Grabber είναι ήδη σε ενεργή ανάπτυξη και έχει τη δυνατότητα να εξάγει φράσεις ανάκτησης, ιδιωτικά κλειδιά και διαπιστευτήρια συνεδρίας μέσω κρυπτογραφημένων καναλιών, πριν οι περισσότερες εργαλεία ανίχνευσης καταγράψουν κάποιο γεγονός ανίχνευσης. Οι χρήστες που διατηρούν τα κρυπτονομίσματά τους σε πορτοφόλια που βασίζονται σε προγράμματα περιήγησης είναι οι κύριοι εκτεθειμένοι.

Οι ερευνητές της Gen Digital κατέγραψαν την απειλή παρακολουθώντας μια αλυσίδα φορτωτή μέσω δεδομένων φήμης τομέα, συγκεντρώνοντας τελικά 334 δείγματα σε διάστημα τριών μηνών. Αυτή η απειλή δεν είναι απλώς μια απόδειξη έννοιας, αλλά μια ζωντανή επιχείρηση Malware-as-a-Service (MaaS) με αναγνωρίσιμους χειριστές.

Βασικά Σημεία

  • Εύρος Απειλής: Το Torg Grabber σαρώνει 850 επεκτάσεις προγράμματος περιήγησης, εκ των οποίων 728 είναι στόχοι πορτοφολιών κρυπτονομισμάτων, σε 25 παραλλαγές Chromium και 8 Firefox.
  • Μέθοδος Επίθεσης: Ο φορτωτής προσποιείται ότι είναι μια νόμιμη ενημέρωση του Chrome (GAPI_Update.exe, 60 MB), αναπτύσσει το payload μέσω μιας ψεύτικης προόδου ενημέρωσης ασφαλείας των Windows διάρκειας 420 δευτερολέπτων και στη συνέχεια εξάγει δεδομένα χρησιμοποιώντας κρυπτογράφηση ChaCha20 με αυθεντικοποίηση HMAC-SHA256 μέσω υποδομών Cloudflare.
  • Ποιοι Είναι σε Κίνδυνο: Οι χρήστες πορτοφολιών που βασίζονται σε επεκτάσεις προγράμματος περιήγησης — όπως οι MetaMask, Phantom και παρόμοια $HOT wallets — αντιμετωπίζουν άμεσο κίνδυνο κλοπής διαπιστευτηρίων.

Η αλυσίδα μόλυνσης ξεκινά με έναν φορτωτή που προσποιείται ότι είναι το GAPI_Update.exe — ένα πακέτο InnoSetup 60 MB που διανέμεται από υποδομές Dropbox. Εξάγει τρία αθώα DLLs σε %LOCALAPPDATA%\Connector\ για να δημιουργήσει μια καθαρή εμφάνιση, και στη συνέχεια εκκινεί μια ψεύτικη πρόοδο ενημέρωσης ασφαλείας των Windows που διαρκεί ακριβώς 420 δευτερόλεπτα.

Μετά την ανάπτυξη, το Torg Grabber στοχεύει 25 προγράμματα περιήγησης Chromium, 8 παραλλαγές Firefox, Discord, Steam, Telegram, πελάτες VPN, πελάτες FTP, πελάτες email και διαχειριστές κωδικών πρόσβασης, εκτός από τα κρυπτονομίσματα. Τα δεδομένα αρχειοθετούνται σε ZIP μνήμης ή ρέουν σε κομμάτια.

Η ανάλυση της Gen Digital εντόπισε πάνω από 40 ετικέτες χειριστών ενσωματωμένες σε δυαδικά αρχεία, συνδέοντας οκτώ χειριστές με το ρωσικό οικοσύστημα κυβερνοεγκλήματος. Το μοντέλο MaaS επιτρέπει στους μεμονωμένους χειριστές να αναπτύσσουν προσαρμοσμένο shellcode μετά την εγγραφή τους, επεκτείνοντας την επιφάνεια επίθεσης πέρα από την βασική διαμόρφωση.

Η 728 δεν είναι τυχαίος αριθμός. Αντιπροσωπεύει μια σκόπιμη διαμόρφωση, κάθε κύριο πορτοφόλι που βασίζεται σε πρόγραμμα περιήγησης με μετρήσιμη εγκατάσταση. Οι χρήστες που αποθηκεύουν φράσεις ανάκτησης σε ψηφιακή μορφή αντιμετωπίζουν πλήρη συμβιβασμό πορτοφολιού με μία μόνο μόλυνση.

Για περισσότερες πληροφορίες σχετικά με την απειλή αυτή, μπορείτε να επισκεφθείτε τις παρακάτω πηγές: