Torg Grabber这个新冒头的信息窃取恶意软件,已经盯上728个加密钱包扩展。它横扫850个浏览器插件,覆盖25种Chromium浏览器和8种Firefox变体。开发者Gen Digital研究员通过域名声誉数据追根溯源,搞到334个样本。这些样本跨越三个月开发期。不是实验室玩具。这是活生生的Malware-as-a-Service服务,有明确运营商在背后推波助澜。
感染链条从一个伪装文件开始。名为GAPI_Update.exe的60MB InnoSetup包,从Dropbox散布。它假扮Chrome更新。落地后,提取三个无害DLL到%LOCALAPPDATA%\Connector\文件夹,看起来干净利落。然后弹出假Windows安全更新进度条。动画ASCII艺术用csc.exe编译。进度条跑满420秒。够长,够逼真。用户多半不会起疑。
真家伙藏在随机命名可执行文件里。像v4jkqh.exe、hkjpy08.exe、ln3dkgz.exe。丢进C:\Windows\。一个13MB样本启动dllhost.exe,还想关掉Windows事件跟踪。行为检测半路截胡。部署完,它扫荡不止。加密钱包首当其冲。MetaMask、Phantom这些热钱包直接中枪。还顺手抓Discord、Steam、Telegram、VPN、FTP、邮件客户端、密码管理器。数据打包成内存ZIP,或分块流式传输。外传用ChaCha20加密,外加HMAC-SHA256认证。全走Cloudflare端点。专业水准,不是街头货色。
自托管用户最危险。浏览器钱包用户,种子短语、私钥、会话令牌全被卷走。通道加密,端点工具反应不过来。硬件钱包相对安全。除非你傻乎乎把种子短语存文本文件或密码管理器。交易所资产暂时稳住。它不碰API。只偷本地凭证。活跃登录会话可能连累交易所账户。
728这个数不是随便编。精确扫描所有安装量大的浏览器钱包。MetaMask月活超3000万。它不挑受害者。机子上有就偷。Gen Digital分析二进制,挖出40多个运营商标签。昵称、日期批次ID、Telegram用户ID。直指俄罗斯黑产圈子。八个运营商已确认。MaaS模式允许注册后自定义shellcode。攻击面随时扩张。从Telegram死信箱,升级成REST API。像中了毒的瑞士钟表。精确。致命。
当前市场低迷。BTC现报$68,549(24h -2.15%)。ETH $2,065(24h -2.71%)。用户心慌,容易点开可疑更新。Torg Grabber的API基础设施还在迭代。钱包目标列表会膨胀。Vidar、RedLine这些老贼几年前就玩这套。Torg Grabber基础设施更硬。
运营商用生产级架构。Cloudflare掩护下,数据悄无声息外流。样本显示,payload部署时故意拖时间。420秒窗口,用户耐心耗尽。谁会中途关掉“系统更新”?自托管本是加密铁律。现在成软肋。浏览器扩展成战场。MetaMask用户想想,30亿月活背后,多少机子裸奔。
Gen Digital追踪域名链,确认活跃部署。不是预警。是实战。MaaS门槛低,黑客蜂拥。俄罗斯生态标签暴露意图。Telegram ID直接挂钩。自定义负载意味着,下波变种随时来。钱包用户醒醒。别信Chrome“自动更新”。检查扩展列表。硬件备份种子。纸上写。数字存,等于开门揖盗。
这玩意儿不等人。感染一机,全家桶倾家荡产。交易所冷钱包再稳,本地热钥丢了,哭都没地儿。开发者直言,它像钟表。滴答作响。已中毒。市场跌成这样,别再给贼递刀。赶紧审视浏览器。插件少留。安全第一。