Se você soar um filme de ficção científica, é porque o panorama do crime digital já funciona com roteiristas próprios: um novo ladrão de informação chamado Torg Grabber É demonstrado que os atacantes não só diversificam seus objetivos, mas também aperfeiçoam suas técnicas a ritmo acelerado. Pesquisadores da empresa de cibersegurança Gen Digital Eles publicaram uma análise que pinta um panorama inquietante: este malware aponta centenas de extensões de navegador, sobretudo a carteiras de criptomoedas, e evolui semana a semana.
A porta de entrada de Torg Grabber não é uma vulnerabilidade nativa do navegador, mas uma engenharia social que explora a confiança do usuário: através da técnica conhecida como ClickFix O malware manipula a área de transferência e engana para que a vítima pegue e execute um comando do PowerShell. Em outras palavras, o atacante apoia-se num comportamento humano (pegar o que aparece no ecrã) para conseguir execução remota sem ter que sortear diretamente as defesas do sistema.
Uma vez dentro, Torg Grabber aplica estratégias modernas de evasão: carga sua carga útil em memória, usa técnicas de ofuscação por camadas, recorre a chamadas diretas ao sistema (syscalls) e emprega a carga reflectiva de DLLs para evitar ser detectada pelas análises tradicionais baseadas em arquivos. Os investigadores apontam ainda que o projeto está em plena atividade: em apenas três meses (dezembro de 2025 a fevereiro de 2026) foram identificadas 334 amostras únicas e novos servidores de comando e controle com periodicidade semanal.
O alcance do que pode arrancar da equipe comprometida é amplo. Gen Digital documenta que o Torg Grabber tenta extrair credenciais, cookies e dados de completação de 25 navegadores baseados em Chromium e oito variantes do Firefox. Das 850 extensões que vigia, mais de 700 são carteiras de criptomoedas, uma lista que inclui tanto os nomes mais conhecidos —MetaMask, Phantom, Trust Wallet, Coinbase, Binance ou Exodus — como centenas de projetos menos populares. Também aparecem no seu objetivo 103 extensões relacionadas com gestores de senhas e autenticadores (desde LastPass e 1Password até Bitwarden e soluções TOTP) e várias aplicações de notas e mensagens.
O modus operandi de exfiltração mudou com o tempo. De acordo com o relatório, as primeiras versões do malware enviavam informações através do Telegram ou através de um protocolo TCP encriptado próprio. Em meados de dezembro de 2025, os responsáveis mudaram de estratégia e passaram a usar conexões HTTPS canalizadas pela infraestrutura de Cloudflare, um projeto que facilita o aumento de dados em fragmentos e a entrega de payloads adicionais sem levantar tantas suspeitas de rede.
Um detalhe técnico relevante é o aparecimento de uma ferramenta auxiliar chamada Underground, projetado para extrair dados do navegador de maneira direta. Este utilitário injeta um DLL refletivamente no processo do navegador para acessar o serviço COM de elevação do Chrome e obter a chave-prima de criptografia, uma técnica que já se viu em famílias de roubo de credenciais anteriores. Essa capacidade, ligada à faculdade de tirar capturas, inventariar software instalado (incluindo produtos antivírus) e roubar arquivos de Escritor e Documentos, converte Torg Grabber em uma ameaça muito versátil.
Os pesquisadores também destacam que o malware pode receber e executar shellcode enviado desde o C2 cifrado com ChaCha e comprimido com zlib, o que facilita a entrega dinâmica de módulos sem deixar artefatos em disco. Além disso, a equipe de Gen Digital adverte sobre a rápida expansão do ecossistema de operadores: as primeiras amostras mostravam até 40 etiquetas distintas, sugerindo que vários grupos ou indivíduos estão aproveitando e adaptando a plataforma.
Se toda esta descrição parecer alarmante, há medidas concretas que reduzem o risco. Em primeiro lugar, desconfie de copiar e executar comandos que apareçam em páginas Web, chats ou janelas emergentes; aprenda a inspeccionar o conteúdo da área de transferência antes de colar e, quando possível, evite executar o PowerShell a partir de fontes não confiáveis. Manter o navegador e extensões atualizadas, limitar o número de plugins instalados aos estritamente necessários e rever as permissões que concedemos a cada extensão também ajuda a reduzir a superfície de ataque.
Para aqueles que gerem ativos digitais, a recomendação é não depender apenas de extensões para custódia de criptomoedas: usar carteiras de hardware para fundos significativos adiciona uma camada física de proteção contra este tipo de info-stealers. Em ambientes corporativos, soluções de detecção e resposta em endpoints que supervisionam a execução em memória, juntamente com filtros de conteúdo e políticas que bloqueiam a execução de comandos suspeitos, são linhas de defesa importantes.
O caso de Torg Grabber serve como lembrete de que as ameaças modernas combinam engenharia social com técnicas sofisticadas de evasão e persistência. Se você quer ler a análise técnica completa e atualizada, o relatório do Gen Digital detalha amostras, indicadores e comportamentos observados: Relatório do Gen Digital sobre o Torg Grabber. Para uma perspectiva de imprensa e contextualização adicional, pode-se consultar a cobertura em meios especializados, que recolhem o alcance e a evolução rápida desta família de malware: BleepingComputer.
A tecnologia avança e também o fazem as táticas dos atacantes. Manter-se informado, aplicar boas práticas básicas e tratar extensões e comandos da área de transferência com suspeita razoável são pequenas rotinas que, juntas, reduzem consideravelmente o risco de se tornar a próxima vítima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...