Novo malware ‘Torg Grabber’ atinge 728 carteiras de criptomoedas

O Torg Grabber, um malware do tipo infostealer recém-identificado, tem como alvo 728 extensões de carteiras cripto em 850 complementos de navegador, e já está em implantação ativa.

O malware exfiltra frases semente (seed phrases), chaves privadas e tokens de sessão por meio de canais criptografados antes que a maioria das ferramentas de endpoint registre um evento de detecção. Usuários de autocustódia que utilizam carteiras baseadas em navegador são a principal superfície de exposição.

Pesquisadores da Gen Digital documentaram a ameaça após rastrear uma cadeia de carregamento por meio de dados de reputação de domínio, compilando finalmente 334 amostras em uma janela de desenvolvimento de três meses. Isso não é uma prova de conceito. Trata-se de uma operação real de Malware-as-a-Service (MaaS) com operadores identificados.

O mecanismo: Como o malware Torg Grabber executa o ataque em carteiras cripto

A cadeia de infecção começa com um dropper disfarçado de GAPI_Update.exe — um pacote InnoSetup de 60 MB distribuído a partir da infraestrutura do Dropbox. Ele extrai três DLLs benignas em %LOCALAPPDATA%\Connector\ para estabelecer uma pegada de aparência limpa e, em seguida, inicia uma barra de progresso falsa de Atualização de Segurança do Windows que roda por exatos 420 segundos, completa com arte ASCII animada compilada via csc.exe. O atraso é deliberado: cria uma janela de instalação plausível enquanto o payload é implantado.

O executável final é solto com nomes aleatórios — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — em C:\Windows\ em todas as amostras documentadas. Uma instância capturada de 13 MB gerou o dllhost.exe e tentou desativar o Event Tracing for Windows antes que a detecção comportamental encerrasse a execução no meio do processo.

Após a implantação, o Torg Grabber visa 25 navegadores Chromium, 8 variantes do Firefox, Discord, Steam, Telegram, clientes VPN, clientes FTP, clientes de e-mail e gerenciadores de senhas, além de carteiras cripto. Os dados são arquivados em um ZIP na memória ou transmitidos em partes. A exfiltração ocorre por meio de endpoints da Cloudflare usando cabeçalhos X-Auth-Token com HMAC-SHA256 por solicitação e criptografia ChaCha20 — uma arquitetura de nível de produção, não uma ferramenta improvisada.

🚨 CRYPTO THEFT MALWARE: New “Torg Grabber” infostealer targets 728 cryptocurrency wallets.

The malware is designed to harvest wallet data and enable theft of digital assets.

Crypto wallets remain a primary target for financially motivated attackers.

— CyberAlertsHQ (@CyberAlertsHQ) March 25, 2026

A análise da Gen Digital identificou mais de 40 tags de operadores incorporadas em binários: apelidos, IDs de lote codificados por data e IDs de usuário do Telegram vinculando oito operadores ao ecossistema do crime cibernético russo. O modelo MaaS significa que operadores individuais podem implantar shellcode personalizado após o registro, expandindo a superfície de ataque além da configuração base. Conforme descreveram os pesquisadores da Gen Digital, o Torg Grabber evoluiu de pontos de entrega no Telegram para “uma API REST de nível de produção que funcionava como um relógio suíço mergulhado em veneno”.

O sinal da autocustódia: O que realmente significam 728 carteiras

728 não é um número arbitrário. Representa uma varredura de configuração deliberada, abrangendo todas as principais carteiras baseadas em navegador com volume de instalação mensurável. Somente a MetaMask possui mais de 30 milhões de usuários ativos mensais. A lógica de segmentação por extensão significa que o Torg Grabber não precisa encontrar uma vítima específica; ele coleta quaisquer credenciais de carteira presentes em qualquer máquina infectada.

O risco mais amplo se bifurca claramente. Usuários de autocustódia que armazenam frases semente no armazenamento do navegador, arquivos de texto ou gerenciadores de senhas enfrentam o comprometimento total da carteira em uma única infecção. Ativos mantidos em exchanges não estão diretamente expostos a este vetor de ataque específico, pois o malware visa armazenamentos locais de credenciais, não APIs de exchanges em escala. No entanto, o roubo de tokens de sessão do armazenamento do navegador pode expor contas de exchanges conectadas se as sessões de login estiverem ativas.

Se a base de operadores MaaS do Torg Grabber se expandir — e o monitoramento da Gen Digital em sua infraestrutura de API REST sugere iteração ativa — a lista de alvos de carteiras crescerá. O número 728 é um retrato atual, não um teto. Infostealers comparáveis, como Vidar e RedLine, normalizaram esse modelo anos atrás; o Torg Grabber está executando o mesmo manual com uma infraestrutura mais estruturada.