Sicherheitsforscher bei Gen Digital haben eine neue Infostealer-Malware identifiziert, Torg Grabber, die 728 Kryptowährungs-Wallet-Erweiterungen über 850 Browser-Add-ons hinweg ins Visier nimmt. Sie arbeitet als ein Live- Malware-as-a-Service (MaaS)-Betrieb mit 334 eindeutigen, zwischen Dezember 2025 und Februar 2026 kompilierten Samples.
Die Malware exfiltriert Seed-Phrases, private Schlüssel und Sitzungstokens über verschlüsselte Kanäle, bevor die meisten Endpunkt-Tools eine Erkennung registrieren. Dabei wird ein Dropper eingesetzt, der als legitimes Chrome-Update getarnt ist (GAPI_Update.exe) und eine gefälschte Fortschrittsanzeige für ein Windows-Sicherheitsupdate bereitstellt. Die Bedrohung richtet sich an 25 Chromium-Browser und 8 Firefox-Varianten; die Datenexfiltration wird über Cloudflare-Infrastruktur umgeleitet, unter Verwendung der ChaCha20-Verschlüsselung und HMAC-SHA256-Authentifizierung.
Die Malware wird aktiv weiterentwickelt: Neue Command-and-Control-(C2)-Server werden wöchentlich registriert, und mindestens 40 Operator-Tags sind mit dem russischen Cybercrime-Ökosystem verknüpft.
Angriffsmethode und Auslieferung
Anfangliche Infektionskette
Der Dropper ist als GAPI_Update.exe getarnt, ein 60-MB-InnoSetup-Paket, das aus der Dropbox-Infrastruktur verteilt wird. Er extrahiert drei harmlose DLLs nach %LOCALAPPDATA%\Connector\ , um einen sauber aussehenden Fußabdruck zu etablieren, und startet dann eine gefälschte Fortschrittsanzeige für ein Windows-Sicherheitsupdate, die genau 420 Sekunden lang läuft, während die Payload bereitgestellt wird. Die finale ausführbare Datei fällt unter randomisierten Namen in C:\Windows\ , und zwar in dokumentierten Samples. Eine abgefangene 13-MB-Instanz erzeugte dllhost.exe und versuchte, die Event Tracing for Windows zu deaktivieren, bevor sie durch die Beendigungsmaßnahmen bei der Verhaltensdetektion während der Ausführung gestoppt wurde.
Exfiltrationsinfrastruktur
Die Daten werden zu einem ZIP im Arbeitsspeicher archiviert oder in Chunks gestreamt, dann über Cloudflare-Endpunkte geleitet, unter Verwendung von pro Anfrage HMAC-SHA256 X-Auth-Token-Headern und ChaCha20-Verschlüsselung. Die Infrastruktur entwickelte sich von initialen Builds, die Telegram-basierte und benutzerdefinierte verschlüsselte TCP-Protokolle nutzten, hin zu einer HTTPS-Verbindung, die über Cloudflare umgeleitet wird. Das unterstützt Chunked-Upload von Daten und die Auslieferung von Payloads.
Umfang der Zielsysteme
Browser- und Wallet-Abdeckung
Torg Grabber richtet sich an 25 Chromium-Browser und 8 Firefox-Varianten und versucht, Anmeldedaten, Cookies und Autofill-Daten zu stehlen. Von den 850 Browser-Erweiterungen, die es ins Visier nimmt, sind 728 für Krypto-Wallets. Dabei decken sie „praktisch jede Krypto-Wallet ab, die jemals vom Optimismus der Menschen ausgedacht wurde.“ Forscher stellten fest: „Die großen Namen sind alle da—MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare—aber die Liste endet nicht bei den großen Namen.“
Zusätzliche Ziele
Jenseits von Krypto-Wallets zielt die Malware auf 103 Erweiterungen für Passwörter, Tokens und Authentifikatoren, darunter LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass und 2FAAuth, GAuth, TOTP Authenticator. Außerdem zielt sie auf Informationen aus Discord, Telegram, Steam, VPN-Apps, FTP-Apps, E-Mail-Clients, Passwortmanagern sowie Desktop-Anwendungen für Kryptowährungs-Wallets. Die Malware kann das System profilieren, einen Hardware-Fingerprint erstellen, installierte Software dokumentieren (inklusive 24 Antivirus-Tools), Screenshots aufnehmen und Dateien aus den Ordnern Desktop und Dokumente stehlen.
Technische Fähigkeiten und Entwicklung
Anti-Analyse und Umgehung
Die Malware verfügt über mehrere Anti-Analyse-Mechanismen, mehrschichtige Obfuskation und nutzt direkte Syscalls sowie reflektierendes Loading zur Umgehung, wobei die finale Payload vollständig im Arbeitsspeicher läuft. Am 22. Dezember 2025 fügte Torg Grabber eine Umgehung von App-Bound Encryption (ABE) hinzu, um die Cookie-Schutzmechanismen von Chrome (und Brave, Edge, Vivaldi und Opera) zu überwinden.
Malware-as-a-Service-Struktur
Die Analyse von Gen Digital identifizierte über 40 Operator-Tags, die in Binärdateien eingebettet sind: Spitznamen, datumskodierte Batch-IDs und Telegram-User-IDs, die Operatoren mit dem russischen Cybercrime-Ökosystem verknüpfen. Das MaaS-Modell ermöglicht es einzelnen Operatoren, nach der Registrierung benutzerdefinierten Shellcode bereitzustellen und so die Angriffsfläche über die Basis-Konfiguration hinaus zu erweitern. Wie Gen-Digital-Forscher beschrieben: Torg Grabber entwickelte sich von Telegram-Dead-Drops zu einer „produktionsreifen REST-API, die funktionierte wie eine Schweizer Uhr, in Gift getaucht.“
Risikobewertung
Nutzer mit Self-Custody
Self-Custody-Nutzer, die Seed-Phrases in der Browser-Speicherung, in Textdateien oder in Passwortmanagern ablegen, sehen bei einer einzelnen Infektion eine vollständige Kompromittierung des Wallets. Die Logik zur Erweiterungsadressierung bedeutet, dass Torg Grabber jede Wallet-Anmeldeinformation erntet, die auf irgendeinem infizierten System vorhanden ist—unabhängig davon, ob der Nutzer das beabsichtigte Ziel ist.
Nutzer von Börsen und Hardware-Wallets
Bei Börsen verwaltete Assets sind nicht direkt dieser Angriffsschiene ausgesetzt, da die Malware auf lokale Credential-Stores zielt, nicht auf Exchange-APIs im großen Maßstab. Allerdings kann das Stehlen von Sitzungstokens aus der Browser-Speicherung verbundene Exchange-Konten offenlegen, falls Login-Sitzungen aktiv sind. Hardware-Wallet-Nutzer tragen ein indirektes Risiko nur dann, wenn Seed-Phrases digital gespeichert sind.
Häufig gestellte Fragen
Wie infiziert Torg Grabber Geräte?
Die Malware wird über einen Dropper ausgeliefert, der als legitimes Chrome-Update getarnt ist (GAPI_Update.exe), welches aus der Dropbox-Infrastruktur verteilt wird. Sie installiert während der Installation 420 Sekunden lang eine gefälschte Fortschrittsanzeige für ein Windows-Sicherheitsupdate; dabei wird Social Engineering eingesetzt, um das Nutzervertrauen während der Infektion aufrechtzuerhalten.
Welche Kryptowährungs-Wallets sind am stärksten gefährdet?
Die Malware zielt auf 728 Wallet-Erweiterungen über 25 Chromium- und 8 Firefox-Browser hinweg, einschließlich MetaMask, Phantom, TrustWallet, Coinbase Wallet, Binance Wallet, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui und Solflare. Jeder Nutzer, der browserbasierte Wallet-Erweiterungen nutzt, ist direkt gefährdet.
Wie können sich Nutzer vor Torg Grabber schützen?
Nutzer sollten vermeiden, Software aus nicht vertrauenswürdigen Quellen herunterzuladen, bei gefälschten Update-Aufforderungen misstrauisch sein und für bedeutende Krypto-Bestände den Einsatz von Hardware-Wallets in Betracht ziehen, wobei Seed-Phrases offline gespeichert werden. Organisationen sollten bekannte bösartige Domains blockieren und auf die von Gen Digital dokumentierten Indikatoren für Kompromittierung achten.
