{"id":6872,"date":"2026-03-27T11:30:53","date_gmt":"2026-03-27T11:30:53","guid":{"rendered":"https:\/\/cryptonews.com\/pl\/newsy\/torg-grabber-malware-targets-728-crypto-wallets-security-alert\/"},"modified":"2026-03-27T11:30:53","modified_gmt":"2026-03-27T11:30:53","slug":"alert-nowy-malware-portfele-krypto","status":"publish","type":"post","link":"https:\/\/cryptonews.com\/pl\/newsy\/alert-nowy-malware-portfele-krypto\/","title":{"rendered":"Alert: nowy malware Torg Grabber atakuje 728 portfele krypto"},"content":{"rendered":"

Torg Grabber, nowo zidentyfikowane z\u0142o\u015bliwe oprogramowanie typu infostealer, obra\u0142o za cel 728 rozszerze\u0144, kt\u00f3rymi s\u0105 popularne portfele krypto<\/strong>, dzia\u0142aj\u0105ce w ramach 850 dodatk\u00f3w do przegl\u0105darek. Malware jest ju\u017c aktywnie wykorzystywane w atakach, a jego g\u0142\u00f3wnym zadaniem jest eksfiltracja fraz seed, kluczy prywatnych oraz token\u00f3w sesji poprzez zaszyfrowane kana\u0142y komunikacji. Wykrycie zagro\u017cenia przez standardowe narz\u0119dzia ochrony ko\u0144cowej cz\u0119sto nast\u0119puje zbyt p\u00f3\u017ano, co stawia u\u017cytkownik\u00f3w portfeli przegl\u0105darkowych w grupie najwy\u017cszego ryzyka.<\/p>

Badacze z Gen Digital<\/a> udokumentowali to zagro\u017cenie po prze\u015bledzeniu \u0142a\u0144cucha \u0142adowania oprogramowania. W ci\u0105gu trzymiesi\u0119cznego okresu rozwoju zebrano 334 pr\u00f3bki kodu, co potwierdza, \u017ce nie jest to jedynie teoretyczny projekt, lecz dzia\u0142aj\u0105ca operacja typu Malware-as-a-Service (MaaS) z konkretnymi operatorami.<\/p>

Model biznesowy MaaS sprawia, \u017ce walka z tym zagro\u017ceniem jest wyj\u0105tkowo trudna, poniewa\u017c oddziela tw\u00f3rc\u00f3w z\u0142o\u015bliwego kodu od partner\u00f3w zajmuj\u0105cych si\u0119 jego dystrybucj\u0105. Wed\u0142ug ekspert\u00f3w z Bridewell<\/a>, taka struktura pozwala na szybkie dostosowywanie metod ataku do r\u00f3\u017cnych grup ofiar i utrudnia skuteczn\u0105 identyfikacj\u0119 sprawc\u00f3w.<\/p>

Mechanizm ataku: jak Torg Grabber infekuje portfele krypto<\/h2><\/span>

Infekcja rozpoczyna si\u0119 od programu \u0142aduj\u0105cego (droppera) ukrytego pod nazw\u0105 GAPI_Update.exe<\/strong>. Jest to paczka o rozmiarze 60 MB, dystrybuowana za po\u015brednictwem infrastruktury Dropbox. Po uruchomieniu, program wypakowuje trzy niegro\u017anie wygl\u0105daj\u0105ce pliki DLL do folderu lokalnego, aby zmyli\u0107 systemy bezpiecze\u0144stwa, a nast\u0119pnie wy\u015bwietla fa\u0142szywy pasek post\u0119pu aktualizacji Windows Security.<\/p>

Ten proces trwa dok\u0142adnie 420 sekund i zawiera animowan\u0105 grafik\u0119 ASCII. Op\u00f3\u017anienie jest celowe, ma bowiem stworzy\u0107 pozory legalnej instalacji, podczas gdy w tle wdra\u017cany jest w\u0142a\u015bciwy \u0142adunek (payload). Finalny plik wykonywalny przyjmuje losowe nazwy, takie jak v4jkqh.exe czy hkjpy08.exe, i pr\u00f3buje wy\u0142\u0105czy\u0107 \u015bledzenie zdarze\u0144 systemu Windows (ETW), aby unikn\u0105\u0107 wykrycia behawioralnego.<\/p>

<\/p>

\ud83d\udea8 CRYPTO THEFT MALWARE: New \u201cTorg Grabber\u201d infostealer targets 728 cryptocurrency wallets.

The malware is designed to harvest wallet data and enable theft of digital assets.

Crypto wallets remain a primary target for financially motivated attackers.<\/p>— CyberAlertsHQ (@CyberAlertsHQ) March 25, 2026<\/a><\/blockquote>