{"id":186811,"date":"2026-03-27T09:41:39","date_gmt":"2026-03-27T08:41:39","guid":{"rendered":"https:\/\/cryptonews.com\/de\/news\/neue-torg-grabber-malware-nimmt-728-krypto-wallets-ins-visier\/"},"modified":"2026-03-27T09:32:10","modified_gmt":"2026-03-27T08:32:10","slug":"torg-grabber-malware-728-krypto-wallets-im-visier","status":"publish","type":"post","link":"https:\/\/cryptonews.com\/de\/news\/torg-grabber-malware-728-krypto-wallets-im-visier\/","title":{"rendered":"Neue \u201eTorg Grabber\u201c-Malware nimmt 728 Krypto-Wallets ins Visier"},"content":{"rendered":"
Torg Grabber, eine neu identifizierte Infostealer-Malware, zielt auf 728 Krypto-Wallet-Erweiterungen in 850 Browser-Add-ons ab und befindet sich bereits im aktiven Einsatz.<\/p>
Die Malware extrahiert Seed-Phrasen, private Schl\u00fcssel und Session-Token \u00fcber verschl\u00fcsselte Kan\u00e4le, noch bevor die meisten Endpoint-Tools ein Erkennungsereignis registrieren. Nutzer von Self-Custody-Wallets, die browserbasierte Wallets verwenden, stellen die prim\u00e4re Angriffsfl\u00e4che dar.<\/p>
Forscher von Gen Digital dokumentierten die Bedrohung, nachdem sie eine Loader-Kette \u00fcber Domain-Reputationsdaten zur\u00fcckverfolgt hatten. Letztendlich wurden 334 Samples \u00fcber ein dreimonatiges Entwicklungsfenster hinweg zusammengestellt. Dies ist kein Proof-of-Concept. Es handelt sich um eine laufende Malware-as-a-Service-Operation mit identifizierten Betreibern.<\/p>
In aller K\u00fcrze:<\/strong>\n
\n
Umfang der Bedrohung:<\/strong> Torg Grabber scannt 850 Browser-Erweiterungen, wovon 728 Krypto-Wallets sind, \u00fcber 25 Chromium- und 8 Firefox-Browser-Varianten hinweg.<\/li>\n
Angriffsmethode:<\/strong> Ein Dropper tarnt sich als legitimes Chrome-Update (GAPI_Update.exe, 60 MB), installiert die Payload \u00fcber einen gef\u00e4lschten 420-sek\u00fcndigen Fortschrittsbalken f\u00fcr ein Windows-Sicherheitsupdate und exfiltriert dann Daten unter Verwendung von ChaCha20-Verschl\u00fcsselung mit HMAC-SHA256-Authentifizierung \u00fcber eine Cloudflare-Infrastruktur.<\/li>\n
Wer ist gef\u00e4hrdet:<\/strong> Nutzer von Browser-Erweiterungs-Wallets \u2013 wie MetaMask, Phantom und vergleichbare Hot Wallets \u2013 sind direktem Diebstahl von Zugangsdaten ausgesetzt; Hardware-Wallet-Nutzer tragen nur dann ein indirektes Risiko, wenn Seed-Phrasen digital gespeichert werden.<\/li>\n<\/ul>\n<\/div>
Der Mechanismus: Wie die Torg-Grabber-Malware Angriffe auf Krypto-Wallets ausf\u00fchrt<\/h2>
<\/span> \nDie Infektionskette beginnt mit einem Dropper, der sich als GAPI_Update.exe tarnt \u2013 ein 60 MB gro\u00dfes InnoSetup-Paket, das \u00fcber eine Dropbox-Infrastruktur verbreitet wird. Es extrahiert drei harmlose DLLs in den Ordner %LOCALAPPDATA%\\Connector\\<\/code>, um einen unauff\u00e4lligen Fu\u00dfabdruck zu hinterlassen. Anschlie\u00dfend wird ein gef\u00e4lschter Windows-Sicherheits-Update-Fortschrittsbalken gestartet, der genau 420 Sekunden<\/strong> lang l\u00e4uft und mit animierter ASCII-Art versehen ist, die via csc.exe kompiliert wurde. Die Verz\u00f6gerung ist beabsichtigt: Sie schafft ein plausibles Installationsfenster, w\u00e4hrend die Payload bereitgestellt wird.<\/p>
Die finale ausf\u00fchrbare Datei wird unter zuf\u00e4lligen Namen \u2013 wie v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe \u2013 in das Verzeichnis C:\\Windows\\ abgelegt, wie dokumentierte Samples zeigen. Eine erfasste 13 MB gro\u00dfe Instanz startete dllhost.exe und versuchte, das Event Tracing for Windows zu deaktivieren, bevor die verhaltensbasierte Erkennung den Vorgang mitten in der Ausf\u00fchrung beendete.<\/p>
Nach der Bereitstellung zielt Torg Grabber neben Krypto-Wallets auf 25 Chromium-Browser, 8 Firefox-Varianten, Discord, Steam, Telegram, VPN-Clients, FTP-Clients, E-Mail-Clients und Passwort-Manager ab. Die Daten werden in einem In-Memory-ZIP archiviert oder in Bl\u00f6cken gestreamt. Die Exfiltration erfolgt \u00fcber Cloudflare-Endpunkte unter Verwendung von HMAC-SHA256 X-Auth-Token-Headern pro Anfrage und ChaCha20-Verschl\u00fcsselung \u2013 eine professionelle Architektur, keine improvisierten Tools.<\/p>\n
![\"\"](\"https:\/\/cimg.co\/wp-content\/uploads\/2026\/03\/26140049\/image-207.jpg\")
<\/figure>