Neue „Torg Grabber“-Malware nimmt 728 Krypto-Wallets ins Visier

Torg Grabber, eine neu identifizierte Infostealer-Malware, zielt auf 728 Krypto-Wallet-Erweiterungen in 850 Browser-Add-ons ab und befindet sich bereits im aktiven Einsatz.

Die Malware extrahiert Seed-Phrasen, private Schlüssel und Session-Token über verschlüsselte Kanäle, noch bevor die meisten Endpoint-Tools ein Erkennungsereignis registrieren. Nutzer von Self-Custody-Wallets, die browserbasierte Wallets verwenden, stellen die primäre Angriffsfläche dar.

Forscher von Gen Digital dokumentierten die Bedrohung, nachdem sie eine Loader-Kette über Domain-Reputationsdaten zurückverfolgt hatten. Letztendlich wurden 334 Samples über ein dreimonatiges Entwicklungsfenster hinweg zusammengestellt. Dies ist kein Proof-of-Concept. Es handelt sich um eine laufende Malware-as-a-Service-Operation mit identifizierten Betreibern.

Der Mechanismus: Wie die Torg-Grabber-Malware Angriffe auf Krypto-Wallets ausführt

Die Infektionskette beginnt mit einem Dropper, der sich als GAPI_Update.exe tarnt – ein 60 MB großes InnoSetup-Paket, das über eine Dropbox-Infrastruktur verbreitet wird. Es extrahiert drei harmlose DLLs in den Ordner %LOCALAPPDATA%\Connector\, um einen unauffälligen Fußabdruck zu hinterlassen. Anschließend wird ein gefälschter Windows-Sicherheits-Update-Fortschrittsbalken gestartet, der genau 420 Sekunden lang läuft und mit animierter ASCII-Art versehen ist, die via csc.exe kompiliert wurde. Die Verzögerung ist beabsichtigt: Sie schafft ein plausibles Installationsfenster, während die Payload bereitgestellt wird.

Die finale ausführbare Datei wird unter zufälligen Namen – wie v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe – in das Verzeichnis C:\Windows\ abgelegt, wie dokumentierte Samples zeigen. Eine erfasste 13 MB große Instanz startete dllhost.exe und versuchte, das Event Tracing for Windows zu deaktivieren, bevor die verhaltensbasierte Erkennung den Vorgang mitten in der Ausführung beendete.

Nach der Bereitstellung zielt Torg Grabber neben Krypto-Wallets auf 25 Chromium-Browser, 8 Firefox-Varianten, Discord, Steam, Telegram, VPN-Clients, FTP-Clients, E-Mail-Clients und Passwort-Manager ab. Die Daten werden in einem In-Memory-ZIP archiviert oder in Blöcken gestreamt. Die Exfiltration erfolgt über Cloudflare-Endpunkte unter Verwendung von HMAC-SHA256 X-Auth-Token-Headern pro Anfrage und ChaCha20-Verschlüsselung – eine professionelle Architektur, keine improvisierten Tools.

🚨 CRYPTO THEFT MALWARE: New “Torg Grabber” infostealer targets 728 cryptocurrency wallets.

The malware is designed to harvest wallet data and enable theft of digital assets.

Crypto wallets remain a primary target for financially motivated attackers.

— CyberAlertsHQ (@CyberAlertsHQ) March 25, 2026

Die Analyse von Gen Digital identifizierte über 40 in die Binärdateien eingebettete Operator-Tags: Spitznamen, datumskodierte Batch-IDs und Telegram-User-IDs, die acht Betreiber mit dem russischen Cyberkriminalitäts-Ökosystem in Verbindung bringen. Das MaaS-Modell ermöglicht es einzelnen Betreibern, nach der Registrierung kundenspezifischen Shellcode einzusetzen, was die Angriffsfläche über die Basiskonfiguration hinaus erweitert. Wie die Forscher von Gen Digital es beschrieben, entwickelte sich Torg Grabber von Telegram-Dead-Drops zu „einer REST-API in Produktionsqualität, die wie ein in Gift getauchtes Schweizer Uhrwerk funktionierte“.

Entdecken Sie: Top Kryptowährungen 2026

Das Signal für Self-Custody: Was 728 Wallets tatsächlich bedeuten

728 ist keine willkürliche Zahl. Sie steht für eine gezielte Konfigurationsprüfung, die jede wichtige browserbasierte Wallet mit nennenswertem Installationsvolumen abdeckt. Allein MetaMask hat über 30 Millionen monatlich aktive Nutzer. Die auf Erweiterungen ausgerichtete Logik bedeutet, dass Torg Grabber kein spezifisches Opfer finden muss; die Malware erntet alle Wallet-Zugangsdaten ab, die auf einem infizierten Rechner vorhanden sind.

Das allgemeine Risiko teilt sich klar auf. Self-Custody-Nutzer, die Seed-Phrasen im Browser-Speicher, in Textdateien oder Passwort-Managern aufbewahren, riskieren bei einer einzigen Infektion den vollständigen Verlust ihrer Wallet. Auf Börsen gehaltene Vermögenswerte sind diesem spezifischen Angriffsvektor nicht direkt ausgesetzt, da die Malware auf lokale Anmeldedatenspeicher und nicht auf Börsen-APIs im großen Stil zielt. Allerdings kann der Diebstahl von Session-Token aus dem Browser-Speicher verbundene Börsenkonten gefährden, wenn Login-Sitzungen aktiv sind.

Sollte die Basis der MaaS-Betreiber von Torg Grabber wachsen – und die Überwachung der REST-API-Infrastruktur durch Gen Digital deutet auf aktive Weiterentwicklungen hin –, wird die Liste der Ziel-Wallets weiter zunehmen. Die Zahl 728 ist eine aktuelle Momentaufnahme, keine Obergrenze. Vergleichbare Infostealer wie Vidar und RedLine haben dieses Modell bereits vor Jahren etabliert; Torg Grabber führt denselben Plan mit einer strukturierteren Infrastruktur aus.

Entdecken Sie: Presale Coins 2026