Malware Torg Grabber Menargetkan 728 Ekstensi Dompet Kripto dalam Operasi Malware-as-a-Service yang Aktif

Peneliti keamanan siber di Gen Digital telah mengidentifikasi malware infostealer baru, Torg Grabber, yang menargetkan 728 ekstensi dompet cryptocurrency di 850 add-on browser, beroperasi sebagai Malware-as-a-Service (MaaS) langsung dengan 334 sampel unik yang disusun antara Desember 2025 dan Februari 2026.

Malware ini mengekstrak frasa benih, kunci pribadi, dan token sesi melalui saluran terenkripsi sebelum sebagian besar alat endpoint terdeteksi, menggunakan dropper yang disamarkan sebagai pembaruan Chrome yang sah (GAPI_Update.exe) yang menampilkan bilah kemajuan Pembaruan Keamanan Windows palsu. Ancaman ini menargetkan 25 browser Chromium dan 8 varian Firefox, dengan exfiltrasi data dialihkan melalui infrastruktur Cloudflare menggunakan enkripsi ChaCha20 dan otentikasi HMAC-SHA256.

Malware ini aktif dikembangkan, dengan server command-and-control (C2) baru terdaftar setiap minggu dan setidaknya 40 tag operator yang terkait dengan ekosistem kejahatan siber Rusia.

Mekanisme Serangan dan Pengiriman

Rantai Infeksi Awal

Dropper disamarkan sebagai GAPI_Update.exe, paket InnoSetup berukuran 60 MB yang didistribusikan dari infrastruktur Dropbox. Ia mengekstrak tiga DLL yang tidak berbahaya ke %LOCALAPPDATA%\Connector\ untuk membangun jejak yang terlihat bersih, kemudian meluncurkan bilah kemajuan Pembaruan Keamanan Windows palsu yang berjalan selama tepat 420 detik sementara payload diterapkan. Eksekusi akhir dijatuhkan dengan nama acak ke C:\Windows\ di antara sampel yang terdokumentasi. Salah satu instance 13 MB yang ditangkap melahirkan dllhost.exe dan berusaha menonaktifkan Event Tracing untuk Windows sebelum deteksi perilaku menghentikannya di tengah eksekusi.

Infrastruktur Exfiltrasi

Data diarsipkan ke dalam ZIP di memori atau dialirkan dalam potongan, kemudian dialihkan melalui endpoint Cloudflare menggunakan header HMAC-SHA256 X-Auth-Token per permintaan dan enkripsi ChaCha20. Infrastruktur ini berkembang dari build awal yang menggunakan protokol TCP terenkripsi berbasis Telegram dan kustom menjadi koneksi HTTPS yang dialihkan melalui Cloudflare, mendukung unggahan data terpotong dan pengiriman payload.

Lingkup Target

Cakupan Browser dan Dompet

Torg Grabber menargetkan 25 browser Chromium dan 8 varian Firefox, berusaha mencuri kredensial, cookie, dan data autofill. Dari 850 ekstensi browser yang ditargetkan, 728 adalah untuk dompet cryptocurrency, mencakup “praktis setiap dompet crypto yang pernah dibayangkan oleh optimisme manusia.” Para peneliti mencatat: “Nama-nama terkenal sudah ada—MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare—tetapi daftar ini tidak berhenti pada nama-nama besar.”

Target Tambahan

Selain dompet crypto, malware ini menargetkan 103 ekstensi untuk kata sandi, token, dan autentikator, termasuk LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, dan 2FAAuth, GAuth, TOTP Authenticator. Ini juga menargetkan informasi dari Discord, Telegram, Steam, aplikasi VPN, aplikasi FTP, klien email, manajer kata sandi, dan aplikasi dompet cryptocurrency desktop. Malware ini dapat memprofil host, membuat sidik jari perangkat keras, mendokumentasikan perangkat lunak yang terpasang (termasuk 24 alat antivirus), mengambil tangkapan layar, dan mencuri file dari folder Desktop dan Dokumen.

Kemampuan Teknis dan Evolusi

Anti-Analisis dan Penghindaran

Malware ini memiliki beberapa mekanisme anti-analisis, obfuscation berlapis-lapis, dan menggunakan syscalls langsung serta pemuatan reflektif untuk penghindaran, menjalankan payload akhir sepenuhnya di memori. Pada 22 Desember 2025, Torg Grabber menambahkan Bypass Enkripsi App-Bound (ABE) untuk mengalahkan sistem perlindungan cookie Chrome (dan Brave, Edge, Vivaldi, dan Opera).

Struktur Malware-as-a-Service

Analisis Gen Digital mengidentifikasi lebih dari 40 tag operator yang tertanam dalam biner: nama panggilan, ID batch yang terkode tanggal, dan ID pengguna Telegram yang menghubungkan operator ke ekosistem kejahatan siber Rusia. Model MaaS memungkinkan operator individu untuk menyebarkan shellcode kustom setelah pendaftaran, memperluas permukaan serangan di luar konfigurasi dasar. Seperti yang dijelaskan oleh peneliti Gen Digital, Torg Grabber berkembang dari dead drops Telegram menjadi “API REST tingkat produksi yang bekerja seperti jam tangan Swiss yang dicelupkan dalam racun.”

Penilaian Risiko

Pengguna Self-Custody

Pengguna self-custody yang menyimpan frasa benih di penyimpanan browser, file teks, atau manajer kata sandi menghadapi kompromi dompet yang lengkap pada satu infeksi. Logika penargetan ekstensi berarti Torg Grabber mengumpulkan kredensial dompet apa pun yang ada di mesin yang terinfeksi, terlepas dari apakah pengguna adalah target yang dimaksud.

Pengguna Dompet Pertukaran dan Hardware

Aset yang dipegang oleh pertukaran tidak secara langsung terpapar pada vektor serangan ini, karena malware ini menargetkan penyimpanan kredensial lokal, bukan API pertukaran secara besar-besaran. Namun, pencurian token sesi dari penyimpanan browser dapat mengekspos akun pertukaran yang terhubung jika sesi login aktif. Pengguna dompet perangkat keras hanya menghadapi risiko tidak langsung jika frasa benih disimpan secara digital.

Pertanyaan yang Sering Diajukan

Bagaimana Torg Grabber menginfeksi perangkat?

Malware ini disampaikan melalui dropper yang disamarkan sebagai pembaruan Chrome yang sah (GAPI_Update.exe) yang didistribusikan dari infrastruktur Dropbox. Ia menerapkan bilah kemajuan Pembaruan Keamanan Windows palsu yang berjalan selama 420 detik sementara payload terinstal, menggunakan rekayasa sosial untuk mempertahankan kepercayaan pengguna selama infeksi.

Dompet cryptocurrency mana yang paling berisiko?

Malware ini menargetkan 728 ekstensi dompet di 25 browser Chromium dan 8 Firefox, termasuk MetaMask, Phantom, TrustWallet, Dompet Coinbase, Dompet Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, dan Solflare. Setiap pengguna yang menjalankan ekstensi dompet berbasis browser berada dalam risiko langsung.

Bagaimana cara pengguna melindungi diri dari Torg Grabber?

Pengguna harus menghindari mengunduh perangkat lunak dari sumber yang tidak tepercaya, waspada terhadap prompt pembaruan palsu, dan mempertimbangkan untuk menggunakan dompet perangkat keras untuk penyimpanan crypto yang signifikan dengan frasa benih yang disimpan secara offline. Organisasi harus memblokir domain jahat yang dikenal dan memantau indikator kompromi yang didokumentasikan oleh Gen Digital.