Wenn es wie ein Science-Fiction-Film klingt, ist es, weil der digitale Tatort bereits mit eigenen Schriftstellern funktioniert: ein neuer Informationsdieb namens Torg Grabber Es zeigt, dass Angreifer nicht nur ihre Ziele diversifizieren, sondern auch ihre Techniken in einem beschleunigten Tempo verbessern. Forscher des Cyber-Sicherheitsunternehmens Digital Gen haben eine Analyse veröffentlicht, die ein störendes Bild anzeigt: Diese Malware zeigt auf Hunderte von Browser-Erweiterungen, vor allem auf Kryptomoneda-Portfolios, und entwickelt sich Woche für Woche.
Die Eingangstür von Torg Grabber ist keine native Browser-Verwundbarkeit, sondern ein Social Engineering, das Benutzervertrauen ausnutzt: mittels der Technik bekannt als Klicken Sie auf Malware manipuliert die Zwischenablage und täuscht das Opfer, um einen PowerShell Befehl zu treffen und auszuführen. Mit anderen Worten, der Angreifer setzt auf menschliches Verhalten (einfügen, was auf dem Bildschirm erscheint), um Remote-Ausführung zu erhalten, ohne direkt die Verteidigung des Systems zu ziehen.
Torg Grabber wendet nach innen moderne Escape-Strategien an: es lädt seine Nutzlast im Speicher, verwendet Layer-Ussing-Techniken, verwendet direkte Systemanrufe (Syscalls) und verwendet DLs' reflektierende Last, um zu vermeiden, von traditionellen datenbasierten Analysen entdeckt zu werden. Die Forscher weisen auch darauf hin, dass das Projekt in vollem Betrieb ist: In nur drei Monaten (Dezember 2025 bis Februar 2026) wurden 334 einzigartige Proben identifiziert und wöchentlich neue Befehls- und Kontrollserver aufgezeichnet.
Der Umfang, was Sie von der engagierten Ausrüstung starten können, ist breit. Gen Digitale Dokumente, die Torg Grabber versucht, Anmeldeinformationen, Cookies und selbst abgeschlossene Daten von 25 Chrom-basierten Browsern und acht Firefox-Varianten zu extrahieren. Von den 850 Erweiterungen, die Sie beobachten, Mehr als 700 sind Kryptomoneda-Portfolios, eine Liste, die sowohl die bekanntesten Namen - MetaMask, Phantom, Trust Wallet, Coinbase, Binance oder Exodus - und Hunderte von weniger beliebten Projekten enthält. Es gibt auch 103 Erweiterungen im Zusammenhang mit Passwort- und Authentifizierungs-Managern (von LastPass und 1Password bis Bitwarden und TOTP-Lösungen) und mehreren Anmelde- und Messaging-Anwendungen.
Der Exfiltrationsmodus operandi hat sich im Laufe der Zeit verändert. Laut dem Bericht schickten die ersten Versionen von Malware Informationen über Telegram oder über ein selbstverschlüsseltes TCP-Protokoll. Mitte Dezember 2025 änderten die Verantwortlichen ihre Strategie und nutzten HTTPS-Verbindungen, die von der Cloudflare-Infrastruktur geleitet werden, ein Design, das es einfacher macht, Daten in Fragmente hochzuladen und zusätzliche Nutzlasten zu liefern, ohne so viele Netzwerkverdächtige anzuheben.
Ein relevantes technisches Detail ist das Erscheinen eines Hilfswerkzeugs namens Untertage, entwickelt, um Daten vom Browser direkt zu extrahieren. Dieses Dienstprogramm injiziert eine DLL reflektierend in den Browser-Prozess, um auf Chrome COM-Hebeservice zugreifen und erhalten Sie den Master-Verschlüsselung Schlüssel, eine Technik, die bereits in früheren Anmeldeinformationen Diebstahl-Familien gesehen wurde. Diese Kapazität, verbunden mit der Fähigkeit, Fänge zu erfinden, installierte Software (einschließlich Antiviren-Produkte) und stehlen Desktop- und Dokumente-Dateien, macht Torg Grabber eine sehr vielseitige Bedrohung.
Forscher betonen auch, dass Malware Shellcode von C2 verschlüsselt mit ChaCha empfangen und ausführen kann und mit zlib komprimiert wird, was die dynamische Lieferung von Modulen erleichtert, ohne Artefakte auf Festplatte zu verlassen. Darüber hinaus warnt das Digital Gen-Team über die schnelle Erweiterung des Bediener-Ökosystems: Die ersten Proben zeigten bis zu 40 verschiedene Labels, was darauf hindeutet, dass mehrere Gruppen oder Einzelpersonen die Plattform nutzen und anpassen.
Wenn diese ganze Beschreibung alarmiert, gibt es konkrete Maßnahmen, die das Risiko reduzieren. Erstens, Misstrauen von Kopieren und laufenden Befehlen, die auf Webseiten, Chats oder auftauchenden Fenstern erscheinen; lernen Sie, den Inhalt der Zwischenablage zu überprüfen, bevor Sie es treffen und, soweit möglich, zu vermeiden, dass PowerShell aus unzuverlässigen Quellen ausgeführt wird. Halten Sie den Browser und Erweiterungen auf dem neuesten Stand, begrenzen Sie die Anzahl der Plugins installiert auf die streng notwendigen und überprüfen Sie die Berechtigungen, die wir jeder Erweiterung gewähren, auch hilft, die Angriffsfläche zu reduzieren.
Für diejenigen, die mit digitalen Assets umgehen, ist die Empfehlung nicht nur auf Erweiterungen, um cryptomonedas zu schützen: die Verwendung von Hardware-Portfolios für bedeutende Fonds fügt eine physische Schutzschicht gegen diese Art von Info-Stealern. In Unternehmensumgebungen sind Endpoints-Erkennungs- und Antwortlösungen, die die Speicherausführung überwachen, sowie Content- und Policy-Filter, die die Ausführung verdächtiger Befehle blockieren, wichtige Verteidigungslinien.
Der Fall von Torg Grabber dient als Erinnerung daran, dass moderne Bedrohungen soziales Engineering mit anspruchsvollen Techniken von Evasion und Persistenz kombinieren. Wenn Sie die komplette und aktualisierte technische Analyse lesen möchten, wird der Bericht von Gen Digital Details Proben, Indikatoren und beobachtete Verhaltensweisen angezeigt: Gen Digitaler Bericht über Torg Grabber. Für eine zusätzliche Presseperspektive und Kontextualisierung können Sie die Berichterstattung in spezialisierten Medien sehen, die den Umfang und die schnelle Entwicklung dieser Malware-Familie sammeln: Artikel in BleepingComputer.
Die Technologie geht voran und auch die Taktik der Angreifer. Informationen zu erhalten, grundlegende gute Praktiken anzuwenden und Clipboard-Erweiterungen und Befehle mit vernünftigem Verdacht zu behandeln, sind kleine Routinen, die zusammen das Risiko des nächsten Opfers deutlich reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...