Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Torg Grabber to nowo opisane złośliwe oprogramowanie typu infostealer, zaprojektowane do kradzieży danych uwierzytelniających, ciasteczek sesyjnych, informacji autouzupełniania oraz danych przechowywanych w rozszerzeniach przeglądarek. Szczególnie niepokojący jest jego wyraźny nacisk na użytkowników ekosystemu kryptowalutowego, ponieważ malware aktywnie wyszukuje komponenty powiązane z portfelami cyfrowymi i innymi narzędziami służącymi do zarządzania aktywami on-chain.
Zagrożenie wpisuje się w rosnący trend specjalizowanych stealerów, które nie ograniczają się już do prostego wykradania haseł z przeglądarki. Torg Grabber działa szerzej: profiluje host, zbiera dane z aplikacji komunikacyjnych i bezpieczeństwa, a także może wspierać dalsze etapy kompromitacji poprzez elastyczną komunikację z infrastrukturą operatorów.
W skrócie
- Torg Grabber został ujawniony pod koniec marca 2026 roku jako aktywnie rozwijany infostealer działający w modelu usługowym.
- Malware ma atakować 850 rozszerzeń przeglądarek, w tym 728 związanych z portfelami kryptowalutowymi.
- Wektor początkowego dostępu obejmuje między innymi technikę ClickFix, w której ofiara uruchamia złośliwe polecenie PowerShell.
- Nowsze wersje korzystają z bardziej dojrzałej infrastruktury C2 opartej na HTTPS oraz szyfrowanych transferach danych.
- Zagrożenie obejmuje również menedżery haseł, aplikacje 2FA, komunikatory, pocztę, VPN i desktopowe portfele kryptowalutowe.
Kontekst / historia
Analiza rozwoju Torg Grabber wskazuje, że projekt dojrzewał bardzo szybko. Badane próbki były intensywnie kompilowane między grudniem 2025 roku a lutym 2026 roku, a operatorzy regularnie rejestrowali nowe serwery dowodzenia i kontroli. Taki wzorzec sugeruje nie jednorazową kampanię, lecz rozwijane zaplecze przestępcze z ambicją skalowania operacji.
Badacze powiązali Torg Grabber z modelem Malware-as-a-Service. Oznacza to, że twórcy mogli udostępniać infrastrukturę, builder oraz panel operatorski zewnętrznym klientom. Tego typu model zwiększa ryzyko szerokiego rozpowszechnienia zagrożenia, ponieważ obniża próg wejścia dla mniej zaawansowanych cyberprzestępców.
Wczesne warianty wykorzystywały prostsze kanały eksfiltracji, w tym rozwiązania oparte na komunikacji przez Telegram. Z czasem operatorzy przeszli do własnego szyfrowanego protokołu TCP, by ostatecznie wdrożyć architekturę REST API działającą przez HTTPS i ukrytą za infrastrukturą pośredniczącą. Ta ewolucja pokazuje przejście od etapu eksperymentalnego do bardziej odpornej i skalowalnej platformy kradzieży danych.
Analiza techniczna
Technicznie Torg Grabber wyróżnia się wieloetapowym łańcuchem infekcji, rozbudowaną obfuskacją oraz naciskiem na unikanie analizy. Złośliwy kod może być dostarczany przez fałszywe instalatory, cracki, narzędzia podszywające się pod modyfikacje do gier, a także kampanie ClickFix. W tym ostatnim przypadku użytkownik jest nakłaniany do uruchomienia polecenia PowerShell, często bez pełnej świadomości konsekwencji.
Po uruchomieniu dropper przekazuje konfigurację do kolejnych etapów i inicjuje loader, który odszyfrowuje właściwy ładunek bez trwałego zapisu na dysku. W dalszych fazach malware wykorzystuje reflective loading, dynamiczne rozwiązywanie API oraz bezpośrednie wywołania systemowe. Takie podejście utrudnia analizę statyczną i ogranicza liczbę artefaktów możliwych do wykrycia na hoście.
Jednym z najbardziej istotnych aspektów kampanii jest próba obejścia App-Bound Encryption stosowanego przez nowoczesne przeglądarki oparte na Chromium. Opisane przez badaczy narzędzie pomocnicze refleksyjnie wstrzykuje bibliotekę DLL do procesu przeglądarki, aby uzyskać dostęp do mechanizmów pozwalających wydobyć klucz główny szyfrowania. W praktyce otwiera to drogę do przechwycenia chronionych cookies, zapisanych poświadczeń i innych wrażliwych danych.
Zakres kradzieży jest bardzo szeroki. Torg Grabber ma atakować 25 przeglądarek opartych na Chromium oraz 8 wariantów Firefoksa. Lista celów obejmuje rozszerzenia portfeli kryptowalutowych, menedżery haseł, aplikacje uwierzytelniające, a także dane z Discorda, Telegrama, Steama, klientów FTP, aplikacji VPN, klientów poczty oraz desktopowych portfeli kryptowalutowych.
Malware dodatkowo profiluje zainfekowany system, tworzy fingerprint sprzętowy, dokumentuje zainstalowane oprogramowanie, wykonuje zrzuty ekranu i wykrada pliki z katalogów użytkownika. Kanał C2 w nowszych wariantach opiera się na HTTPS, szyfrowaniu i transmisji danych w porcjach, a operatorzy mogą zdalnie dostarczać kolejne ładunki, w tym shellcode kompresowany i szyfrowany przed uruchomieniem.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją infekcji jest bezpośrednia utrata środków kryptowalutowych oraz przejęcie tożsamości cyfrowej ofiary. Kradzież ciasteczek sesyjnych, tokenów, danych logowania i informacji z rozszerzeń portfeli może umożliwić przejmowanie kont oraz wykonywanie nieautoryzowanych operacji.
Ryzyko nie ogranicza się jednak do użytkowników indywidualnych. Jeśli ta sama przeglądarka lub urządzenie służy do pracy i celów prywatnych, malware może przejąć poświadczenia do usług SaaS, VPN, poczty, komunikatorów i paneli administracyjnych. W efekcie pojedyncza infekcja może stać się punktem wejścia do głębszego naruszenia środowiska firmowego.
Istotny jest również aspekt operacyjny. Model MaaS oraz częsta rotacja infrastruktury C2 sprawiają, że kampania może być łatwo adaptowana przez wielu operatorów. To oznacza większą liczbę wariantów, przynęt i mechanizmów unikania detekcji, co utrudnia obronę opartą wyłącznie na statycznych wskaźnikach kompromitacji.
Rekomendacje
Organizacje powinny wdrożyć wielowarstwowe mechanizmy ochrony, które nie ograniczają się wyłącznie do tradycyjnego antywirusa. Kluczowe znaczenie ma kontrola uruchamiania skryptów, monitorowanie działań PowerShell, analiza zachowania procesów przeglądarek oraz wykrywanie prób reflective loading i iniekcji DLL.
- egzekwowanie zasady najmniejszych uprawnień,
- wdrożenie application allowlistingu,
- monitorowanie nietypowych uruchomień PowerShell,
- analiza dostępu procesów do danych przeglądarek i magazynów poświadczeń,
- ograniczenie instalacji niezatwierdzonych rozszerzeń przeglądarek,
- separacja kont prywatnych i służbowych,
- stosowanie MFA odpornego na kradzież sesji,
- regularny threat hunting pod kątem kradzieży cookies i tokenów.
Użytkownicy indywidualni, zwłaszcza osoby operujące kryptowalutami, powinni unikać pobierania cracków, loaderów, cheatów i niezweryfikowanych narzędzi. Szczególną ostrożność należy zachować wobec instrukcji nakłaniających do ręcznego wklejania i uruchamiania poleceń w terminalu lub oknach systemowych.
W przypadku podejrzenia infekcji należy natychmiast odizolować host, unieważnić aktywne sesje, zmienić hasła z czystego urządzenia, przeprowadzić rotację kluczy oraz odzyskać kontrolę nad portfelami i kontami powiązanymi z przeglądarką.
Podsumowanie
Torg Grabber to przykład nowoczesnego infostealera rozwijanego szybko, metodycznie i z myślą o skali operacyjnej. Połączenie szerokiego katalogu celów, nacisku na portfele kryptowalutowe, technik działania w pamięci oraz zdolności do obchodzenia zabezpieczeń przeglądarek czyni z niego zagrożenie o wysokim potencjale szkód.
Dla zespołów bezpieczeństwa to kolejny sygnał, że ochrona poświadczeń musi wykraczać poza klasyczne mechanizmy AV. Niezbędne stają się telemetria EDR, kontrola skryptów, zarządzanie rozszerzeniami przeglądarek oraz procedury szybkiej reakcji na kradzież sesji i danych dostępowych.
Źródła
- Torg Grabber: Anatomy of a New Credential Stealer — https://www.gendigital.com/blog/insights/research/torg-grabber-credential-stealer-analysis
- New Torg Grabber infostealer malware targets 728 crypto wallets — https://www.bleepingcomputer.com/news/security/new-torg-grabber-infostealer-malware-targets-728-crypto-wallets/