Phần mềm độc hại Torg Grabber nhắm mục tiêu 728 tiện ích mở rộng ví tiền điện tử trong hoạt động Malware-as-a-Service đang hoạt động.

Các nhà nghiên cứu an ninh mạng tại Gen Digital đã xác định một phần mềm độc hại mới chuyên đánh cắp thông tin, Torg Grabber, nhắm mục tiêu vào 728 tiện ích mở rộng ví tiền điện tử trên 850 tiện ích mở rộng trình duyệt, hoạt động như một dịch vụ phần mềm độc hại (MaaS) với 334 mẫu độc nhất được biên soạn giữa tháng 12 năm 2025 và tháng 2 năm 2026.

Phần mềm độc hại này đánh cắp các cụm từ hạt giống, khóa riêng và mã phiên thông qua các kênh mã hóa trước khi hầu hết các công cụ của điểm cuối phát hiện, sử dụng một trình tải giả dạng như một bản cập nhật Chrome hợp pháp (GAPI_Update.exe) mà triển khai một thanh tiến trình cập nhật bảo mật Windows giả. Mối đe dọa này nhắm vào 25 trình duyệt Chromium và 8 biến thể Firefox, với việc exfiltration dữ liệu được định tuyến qua hạ tầng Cloudflare sử dụng mã hóa ChaCha20 và xác thực HMAC-SHA256.

Phần mềm độc hại này đang được phát triển tích cực, với các máy chủ chỉ huy và kiểm soát (C2) mới được đăng ký hàng tuần và ít nhất 40 thẻ vận hành liên kết với hệ sinh thái tội phạm mạng Nga.

Cơ chế tấn công và Phân phối

Chuỗi lây nhiễm ban đầu

Trình tải được ngụy trang dưới dạng GAPI_Update.exe, một gói InnoSetup 60 MB được phân phối từ hạ tầng Dropbox. Nó trích xuất ba DLL vô hại vào %LOCALAPPDATA%\Connector\ để thiết lập một dấu vết sạch sẽ, sau đó khởi chạy một thanh tiến trình cập nhật bảo mật Windows giả chạy trong đúng 420 giây trong khi tải trọng được triển khai. Tệp thực thi cuối cùng được thả dưới các tên ngẫu nhiên vào C:\Windows\ trên các mẫu đã được tài liệu hóa. Một phiên bản thu được có kích thước 13 MB đã sinh ra dllhost.exe và cố gắng vô hiệu hóa Theo dõi sự kiện Windows trước khi phát hiện hành vi kết thúc nó giữa chừng.

Hạ tầng Exfiltration

Dữ liệu được lưu trữ vào một tệp ZIP trong bộ nhớ hoặc được phát trực tiếp theo từng khối, sau đó được định tuyến qua các điểm cuối Cloudflare sử dụng tiêu đề HMAC-SHA256 X-Auth-Token theo yêu cầu và mã hóa ChaCha20. Hạ tầng này đã phát triển từ các bản dựng ban đầu sử dụng các giao thức TCP mã hóa tùy chỉnh dựa trên Telegram đến một kết nối HTTPS được định tuyến qua Cloudflare, hỗ trợ tải lên dữ liệu theo khối và phân phối tải trọng.

Phạm vi mục tiêu

Bao phủ trình duyệt và ví

Torg Grabber nhắm vào 25 trình duyệt Chromium và 8 biến thể Firefox, cố gắng đánh cắp thông tin xác thực, cookie và dữ liệu tự động điền. Trong số 850 tiện ích mở rộng trình duyệt mà nó nhắm đến, 728 là cho ví tiền điện tử, bao gồm “hầu hết mọi ví tiền điện tử đã được con người tưởng tượng.” Các nhà nghiên cứu đã lưu ý: “Các tên tuổi lớn đều có mặt—MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare—nhưng danh sách không dừng lại ở những cái tên lớn.”

Mục tiêu bổ sung

Ngoài ví tiền điện tử, phần mềm độc hại này nhắm đến 103 tiện ích mở rộng cho mật khẩu, token và trình xác thực, bao gồm LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass và 2FAAuth, GAuth, TOTP Authenticator. Nó cũng nhắm đến thông tin từ Discord, Telegram, Steam, ứng dụng VPN, ứng dụng FTP, khách hàng email, trình quản lý mật khẩu và các ứng dụng ví tiền điện tử trên máy tính để bàn. Phần mềm độc hại có thể lập hồ sơ máy chủ, tạo dấu vân tay phần cứng, tài liệu phần mềm đã cài đặt (bao gồm 24 công cụ antivirus), chụp ảnh màn hình và đánh cắp tệp từ thư mục Desktop và Documents.

Khả năng kỹ thuật và sự tiến hóa

Chống phân tích và né tránh

Phần mềm độc hại này có nhiều cơ chế chống phân tích, mã hóa nhiều lớp và sử dụng syscalls trực tiếp và tải động để né tránh, chạy tải trọng cuối cùng hoàn toàn trong bộ nhớ. Vào ngày 22 tháng 12 năm 2025, Torg Grabber đã thêm tính năng Bỏ qua Mã hóa Liên kết Ứng dụng (ABE) để đánh bại hệ thống bảo vệ cookie của Chrome (và Brave, Edge, Vivaldi, Opera).

Cấu trúc Malware-as-a-Service

Phân tích của Gen Digital đã xác định hơn 40 thẻ vận hành nhúng trong các nhị phân: biệt danh, ID lô mã hóa theo ngày và ID người dùng Telegram liên kết các nhà điều hành với hệ sinh thái tội phạm mạng Nga. Mô hình MaaS cho phép các nhà điều hành cá nhân triển khai mã shell tùy chỉnh sau khi đăng ký, mở rộng bề mặt tấn công vượt ra ngoài cấu hình cơ bản. Như các nhà nghiên cứu Gen Digital mô tả, Torg Grabber đã phát triển từ các giao dịch qua Telegram đến “một API REST có chất lượng sản xuất hoạt động như một chiếc đồng hồ Thụy Sĩ ngâm trong độc tố.”

Đánh giá rủi ro

Người dùng tự quản lý

Người dùng tự quản lý lưu trữ cụm từ hạt giống trong bộ nhớ trình duyệt, tệp văn bản hoặc trình quản lý mật khẩu đối mặt với nguy cơ mất ví hoàn toàn chỉ từ một lần lây nhiễm. Logic nhắm vào tiện ích mở rộng có nghĩa là Torg Grabber thu thập bất kỳ thông tin xác thực ví nào có trên bất kỳ máy bị nhiễm nào, bất kể người dùng có phải là mục tiêu dự kiến hay không.

Người dùng ví sàn giao dịch và phần cứng

Tài sản được giữ trên sàn giao dịch không bị lộ trực tiếp trước vectơ tấn công này, vì phần mềm độc hại nhắm vào các kho lưu trữ thông tin xác thực cục bộ, không phải API sàn giao dịch ở quy mô lớn. Tuy nhiên, việc đánh cắp mã phiên từ bộ nhớ trình duyệt có thể phơi bày các tài khoản sàn giao dịch kết nối nếu các phiên đăng nhập đang hoạt động. Người dùng ví phần cứng chỉ phải đối mặt với rủi ro gián tiếp nếu cụm từ hạt giống được lưu trữ dưới dạng kỹ thuật số.

Câu hỏi thường gặp

Torg Grabber lây nhiễm thiết bị như thế nào?

Phần mềm độc hại được phân phối qua một trình tải giả dạng như một bản cập nhật Chrome hợp pháp (GAPI_Update.exe) được phân phối từ hạ tầng Dropbox. Nó triển khai một thanh tiến trình cập nhật bảo mật Windows giả chạy trong 420 giây trong khi tải trọng được cài đặt, sử dụng kỹ thuật xã hội để duy trì niềm tin của người dùng trong quá trình lây nhiễm.

Những ví tiền điện tử nào có nguy cơ cao nhất?

Phần mềm độc hại nhắm vào 728 tiện ích mở rộng ví trên 25 trình duyệt Chromium và 8 biến thể Firefox, bao gồm MetaMask, Phantom, TrustWallet, Coinbase Wallet, Binance Wallet, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, và Solflare. Bất kỳ người dùng nào chạy các tiện ích mở rộng ví dựa trên trình duyệt đều đang ở trong tình trạng rủi ro trực tiếp.

Người dùng có thể bảo vệ mình khỏi Torg Grabber như thế nào?

Người dùng nên tránh tải phần mềm từ các nguồn không đáng tin cậy, nên nghi ngờ các thông báo cập nhật giả, và nên xem xét việc sử dụng ví phần cứng cho các khoản đầu tư tiền điện tử đáng kể với các cụm từ hạt giống được lưu trữ ngoại tuyến. Các tổ chức nên chặn các miền độc hại đã biết và theo dõi các chỉ số của sự cố được tài liệu hóa bởi Gen Digital.