Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Torg Grabber to nowo wykryte złośliwe oprogramowanie typu infostealer, którego celem jest kradzież danych uwierzytelniających, ciasteczek sesyjnych, informacji z przeglądarek oraz danych przechowywanych przez rozszerzenia powiązane z kryptowalutami. Zagrożenie wyróżnia się szerokim zakresem działania, szybkim rozwojem oraz wykorzystaniem technik utrudniających analizę i detekcję.
Największe obawy budzi fakt, że malware koncentruje się na ekosystemie portfeli kryptowalutowych, ale jednocześnie uderza również w menedżery haseł, aplikacje 2FA i inne narzędzia przechowujące wrażliwe dane użytkownika.
W skrócie
Torg Grabber jest aktywnie rozwijanym stealerem, którego model działania przypomina podejście Malware-as-a-Service. Badacze opisali setki unikalnych próbek skompilowanych w krótkim czasie, co wskazuje na dynamiczny rozwój kampanii i rosnącą skalę operacyjną.
- atakuje przeglądarki oparte na Chromium oraz Firefoxie,
- celuje w setki rozszerzeń, głównie związanych z portfelami kryptowalutowymi,
- wykorzystuje socjotechnikę i PowerShell do początkowej infekcji,
- uruchamia finalny ładunek wyłącznie w pamięci,
- stosuje techniki omijania ochrony danych przeglądarki, w tym obejście App-Bound Encryption.
Kontekst / historia
Torg Grabber został zidentyfikowany jako odrębna rodzina malware po wcześniejszych błędnych powiązaniach z innymi stealerami. Analizy wskazują, że od grudnia 2025 do lutego 2026 pojawiły się setki wariantów, co pozwoliło badaczom prześledzić wyraźną ewolucję zagrożenia.
Początkowo malware wykorzystywał prostsze metody eksfiltracji danych, między innymi kanały oparte na komunikatorach. Z czasem operatorzy przeszli do własnego szyfrowanego protokołu TCP, a następnie wdrożyli komunikację HTTPS i dojrzalszą infrastrukturę dowodzenia. Taka zmiana sugeruje przejście od fazy eksperymentalnej do modelu bardziej zorganizowanego i odpornego na zakłócenia.
Znaczącą rolę odgrywa również sposób uzyskania dostępu początkowego. Torg Grabber bywa dostarczany za pomocą techniki ClickFix, w której ofiara jest nakłaniana do samodzielnego uruchomienia złośliwego polecenia PowerShell. To podejście wpisuje się w szerszy trend łączenia socjotechniki z bezplikowymi etapami wykonania kodu.
Analiza techniczna
Pod względem technicznym Torg Grabber jest przykładem nowoczesnego stealera z rozbudowanym łańcuchem ładowania i silnym naciskiem na unikanie detekcji. Infekcja może rozpoczynać się od droppera podszywającego się pod legalne narzędzia, cracki, modyfikacje do gier lub fałszywe instrukcje naprawcze.
Po uruchomieniu dropper osadza kolejne komponenty i przekazuje konfigurację środowiskową, co umożliwia działanie wielu operatorów na wspólnej bazie kodu. W dalszych etapach malware wykorzystuje szyfrowane nakładki, własne procedury dekodowania i reflective loading, dzięki czemu finalny moduł może zostać uruchomiony całkowicie w pamięci, bez klasycznego zapisu pliku wykonywalnego na dysku.
Badacze opisują również zastosowanie wielowarstwowej obfuskacji, dynamicznego rozwiązywania API, bezpośrednich wywołań systemowych oraz technik anti-analysis. Część funkcji pełni rolę pozorną, aby zaciemnić przepływ wykonania i utrudnić dekompilację. To pokazuje, że twórcy malware skupiają się nie tylko na kradzieży danych, ale również na maksymalnym wydłużeniu czasu obecności w systemie.
Szczególnie istotna jest funkcja obejścia App-Bound Encryption w wybranych przeglądarkach opartych na Chromium. Mechanizm ten ma chronić poufne dane, takie jak klucze i ciasteczka, przed prostym odczytem. Według analiz Torg Grabber wykorzystuje technikę wstrzykiwania biblioteki DLL do procesu przeglądarki i uzyskuje dostęp do odpowiednich usług COM, aby pozyskać główny klucz szyfrujący.
Zakres kradzionych danych jest bardzo szeroki. Malware przechwytuje loginy, hasła, cookies, dane autouzupełniania oraz informacje z setek rozszerzeń. Wśród celów dominują rozszerzenia portfeli kryptowalutowych, ale lista obejmuje również menedżery haseł, tokeny uwierzytelniające, aplikacje 2FA, komunikatory, klientów pocztowych, narzędzia VPN, aplikacje FTP, platformy gamingowe i desktopowe portfele kryptowalutowe.
Dodatkowo Torg Grabber potrafi profilować hosta, tworzyć odcisk sprzętowy urządzenia, zbierać informacje o oprogramowaniu ochronnym, wykonywać zrzuty ekranu i kraść pliki z popularnych katalogów użytkownika. W niektórych przypadkach może także pobierać i uruchamiać dodatkowy shellcode dostarczony przez serwer C2.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem infekcji może być utrata środków kryptowalutowych oraz przejęcie tożsamości cyfrowej użytkownika. Kompromitacja rozszerzeń portfeli, ciasteczek sesyjnych i danych z menedżerów haseł może prowadzić do szybkiego przejęcia kont oraz transferu aktywów.
W środowisku firmowym skala ryzyka jest jeszcze większa. Kradzież danych z przeglądarek i narzędzi uwierzytelniających może umożliwić dostęp do usług SaaS, poczty, VPN oraz systemów administracyjnych. Przechwycenie tokenów sesyjnych może dodatkowo pomóc w obejściu części mechanizmów MFA, zwłaszcza jeśli użytkownik posiada aktywne sesje w krytycznych aplikacjach.
Ryzyko zwiększa także elastyczny model działania operatorów. Szybkie modyfikacje kodu, nowe serwery C2 i rozwijana infrastruktura oznaczają, że wykrywanie oparte wyłącznie na statycznych wskaźnikach kompromitacji może być niewystarczające.
Rekomendacje
Podstawą obrony jest ograniczenie skuteczności socjotechniki i nieautoryzowanego uruchamiania poleceń. Użytkownicy powinni być szkoleni, aby nie wykonywać poleceń PowerShell kopiowanych ze stron internetowych, komunikatorów czy rzekomych instrukcji naprawczych.
Na poziomie technicznym warto wdrożyć monitoring poleceń skryptowych, rejestrowanie zdarzeń tworzenia procesów oraz analizę nietypowych łańcuchów uruchomień prowadzących do wstrzykiwania kodu w pamięci. Istotne jest również wykrywanie reflective loading, anomalii w dostępie do przeglądarek i prób pozyskania kluczy szyfrujących z procesów browserów.
- ograniczyć uruchamianie nieautoryzowanych plików z katalogów użytkownika i archiwów pobranych z Internetu,
- stosować EDR lub XDR z naciskiem na detekcję zachowań in-memory, direct syscalls i API unhooking,
- monitorować nietypowe połączenia HTTPS do świeżo zarejestrowanych domen,
- analizować użycie przeglądarek jako źródła wycieku danych, zwłaszcza w kontekście cookies i rozszerzeń,
- minimalizować liczbę dodatków przechowujących sekrety oraz portfeli instalowanych w przeglądarce,
- regularnie czyścić sesje i wylogowywać się z krytycznych usług.
W przypadku podejrzenia infekcji należy natychmiast odłączyć host od sieci, zabezpieczyć artefakty pamięci, unieważnić aktywne sesje w przeglądarkach, zmienić hasła z czystego urządzenia oraz przenieść środki kryptowalutowe do bezpiecznego portfela, jeśli istnieje ryzyko przejęcia kluczy lub tokenów autoryzacyjnych.
Podsumowanie
Torg Grabber to zaawansowany infostealer nowej generacji, który łączy socjotechnikę, wieloetapowe ładowanie, działanie w pamięci oraz szeroki zakres kradzieży danych. Szczególnym celem są portfele kryptowalutowe i rozszerzenia przeglądarkowe związane z aktywami cyfrowymi, ale zagrożenie obejmuje również menedżery haseł, narzędzia MFA i dane sesyjne.
Najważniejszy wniosek jest praktyczny: skuteczna ochrona przed tego typu malware wymaga połączenia edukacji użytkowników, monitoringu behawioralnego, kontroli wykonywania skryptów oraz procedur szybkiej reakcji po incydencie. Torg Grabber pokazuje, że współczesny stealer nie jest już prostym narzędziem do kradzieży haseł, lecz modułową platformą ataku zdolną do omijania nowoczesnych zabezpieczeń przeglądarek.
Źródła
- BleepingComputer – New Torg Grabber infostealer malware targets 728 crypto wallets — https://www.bleepingcomputer.com/news/security/new-torg-grabber-infostealer-malware-targets-728-crypto-wallets/
- Gen Digital – Torg Grabber: Anatomy of a New Credential Stealer — https://www.gendigital.com/blog/insights/research/torg-grabber-credential-stealer-analysis