Исследователи Gen Digital описали новый инфостилер под названием Torg Grabber. По их данным, это активно развивающееся вредоносное ПО, которое крадет данные из браузеров, приложений и расширений, а особенно нацелено на криптовалютные кошельки. BleepingComputer пишет, что стилер пытается похитить информацию из 850 расширений браузера, причем 728 из них связаны с криптокошельками.
Читайте также: Инфостилер SHub Stealer распространяется через поддельный сайт CleanMyMac и подменяет криптокошельки
Инфостилер — это вредоносная программа, основная задача которой не шифровать файлы и не ломать систему «в лоб», а незаметно собирать ценные данные: пароли, cookies, автозаполнение, токены, данные кошельков, содержимое заметок и многое другое. В случае Torg Grabber речь идет именно о таком классе угроз, причем с заметным уклоном в кражу криптоактивов и учетных данных.
Заражение начинается с техники ClickFix. Это сценарий социальной инженерии, при котором пользователя заставляют собственноручно запустить вредоносную команду — например, вставить в окно Win+R заранее подложенную в буфер обмена PowerShell-команду. То есть, атакующий подталкивает человека выполнить опасное действие самому.
Например, пользователь попадает на вредоносную страницу на Google Apps Script, получает в буфере обмена PowerShell-команду, затем запускается скрытый загрузчик, который через BITS и дополнительные стадии скачивает и распаковывает полезную нагрузку. BITS — это Windows Background Intelligent Transfer Service, штатная служба фоновой передачи файлов в Windows, которая выглядит как обычная системная активность. В качестве приманок используются разные темы: фальшивые читы для игр, «крякнутое» ПО и другие заманчивые для пользователя файлы.
Gen Digital пишет, что образец был похож на Vidar, но при анализе выяснилось, что перед исследователями не Vidar и не StealC, а отдельное семейство. В нём нашли характерные строки, другую сетевую логику, собственную схему обмена с командным сервером и отдельную архитектуру управления. Поэтому образцу дали новое имя — Torg Grabber. Название «Torg» связано с одним из часто используемых доменов управления technologytorg.com, а «Grabber» — с самообозначением внутри кода.
За три месяца — с декабря 2025 по февраль 2026 года — исследователи Gen Digital зафиксировали 334 уникальных образца, что указывает на активную разработку. Новые командные серверы регистрировались еженедельно, а сам вредонос быстро менялся. То есть, это живой проект, который дорабатывают в ускоренном режиме.
Развитие вредоноса происходило в три фазы. Сначала ранние сборки отправляли украденные данные через Telegram Bot API. Затем кратко использовался собственный зашифрованный TCP-протокол. После этого авторы перешли к более зрелой схеме — REST API поверх HTTPS, с передачей данных через инфраструктуру Cloudflare.
Когда вредонос переходит от простых каналов вроде Telegram к более устойчивой API-инфраструктуре с аутентификацией, шифрованием и доставкой фрагментами, это означает повышение зрелости операции. Gen Digital пишет, что новая схема использует ChaCha20, HMAC-SHA256, регистрацию зараженной машины через /api/auth, а затем передачу украденных данных чанками.
Torg Grabber нацелен на 25 браузеров на базе Chromium и 8 вариантов Firefox, пытаясь украсть учетные данные, cookies и данные автозаполнения. Всего 850 расширений браузера, из которых 728 предназначены для криптовалютных кошельков. Исследователи отдельно называют известные бренды: MetaMask, Phantom, Trust Wallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui и Solflare. То есть Torg Grabber ориентирован не на пару популярных кошельков, а пытается охватить практически весь рынок wallet-расширений.
Кроме кошельков, вредонос нацелен на 103 расширения, связанные с паролями, токенами и двухфакторной аутентификацией. В публикации перечислены LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, Psono, 2FAAuth, GAuth, TOTP Authenticator и Akamai MFA. Это означает, что под ударом оказываются не только криптоактивы, но и вся “защитная обвязка” вокруг аккаунтов.
Torg Grabber также крадет данные из Discord, Telegram, Steam, VPN-приложений, FTP-клиентов, email-клиентов, менеджеров паролей и настольных криптокошельков. Дополнительно он может делать скриншоты рабочего стола, собирать файлы из папок Desktop и Documents, профилировать систему и фиксировать установленное ПО, включая антивирусные продукты.
Одной из важных функций Torg Grabber стал обход App-Bound Encryption в Chrome. Такая возможность появилась в образцах от 22 декабря 2025 года. App-Bound Encryption — это механизм защиты cookies и других секретов в современных Chromium-браузерах, который должен усложнять их извлечение вредоносом. Torg Grabber научился обходить эту защиту не только в Chrome, но и в Brave, Edge, Vivaldi и Opera.
Для этого используется отдельный DLL-компонент и обращение к Chrome COM Elevation Service / IElevator. Так злоумышленники встраиваются в доверенные механизмы браузера, чтобы вытащить мастер-ключ шифрования и уже потом добраться до cookies и других секретов. Torg Grabber также умеет выполнять shellcode, получаемый с командного сервера в зашифрованном и сжатом виде.
По состоянию на момент анализа в бинарниках зафиксировали более 40 тегов операторов. Исследователи трактуют это как признак модели MaaS — malware-as-a-service, то есть “вредонос как услуга”. В такой модели есть разработчик или команда разработчиков, а есть отдельные клиенты-операторы, которые используют готовую панель, сборщик и инфраструктуру для собственных кампаний.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
