นักวิจัยด้านความปลอดภัยไซเบอร์ที่ Gen Digital ได้ระบุมัลแวร์ infostealer ใหม่ชื่อ Torg Grabber ซึ่งมุ่งเป้าไปที่ส่วนขยายกระเป๋าเงินสกุลเงินดิจิทัล 728 รายการทั่วทั้ง 850 ส่วนเสริมของเบราว์เซอร์ โดยทำงานเป็นการให้บริการมัลแวร์แบบสด (MaaS) ด้วยตัวอย่างที่ไม่ซ้ำกัน 334 รายการที่รวบรวมระหว่างเดือนธันวาคม 2025 และกุมภาพันธ์ 2026
มัลแวร์จะส่งข้อมูล seed phrases, private keys และ session tokens ผ่านช่องทางเข้ารหัสก่อนที่เครื่องมือด้านจุดสิ้นสุดส่วนใหญ่จะลงทะเบียนการตรวจจับ โดยใช้ dropper ที่ปลอมตัวเป็นการอัปเดต Chrome ที่ถูกต้องตามกฎหมาย (GAPI_Update.exe) ซึ่งจัดส่งแถบความก้าวหน้าของการอัปเดตความปลอดภัยของ Windows ปลอม มันมุ่งเป้าไปที่เบราว์เซอร์ Chromium 25 รายการและเวอร์ชัน Firefox 8 รายการ โดยมีข้อมูลการส่งออกที่ถูกส่งผ่านโครงสร้างพื้นฐานของ Cloudflare โดยใช้การเข้ารหัส ChaCha20 และการรับรองความถูกต้อง HMAC-SHA256
มัลแวร์นี้กำลังถูกพัฒนาอย่างต่อเนื่อง โดยมีเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ใหม่ที่ลงทะเบียนทุกสัปดาห์และมีแท็กผู้ดำเนินการอย่างน้อย 40 รายการที่เชื่อมโยงกับระบบนิเวศอาชญากรรมไซเบอร์ของรัสเซีย
กลไกการโจมตีและการส่งมอบ
โซ่การติดเชื้อเริ่มต้น
dropper ปลอมตัวเป็น GAPI_Update.exe ซึ่งเป็นแพ็คเกจ InnoSetup ขนาด 60 MB ที่แจกจ่ายจากโครงสร้างพื้นฐาน Dropbox มันจะแยก DLL ที่ไม่เป็นอันตรายสามรายการไปยัง %LOCALAPPDATA%\Connector\ เพื่อสร้างรอยเท้าที่ดูสะอาด จากนั้นจะเปิดแถบความก้าวหน้าของการอัปเดตความปลอดภัยของ Windows ปลอมที่ทำงานเป็นเวลา 420 วินาที ขณะที่ payload ถูกติดตั้ง ไฟล์ปฏิบัติการสุดท้ายจะถูกทิ้งในชื่อที่สุ่มใน C:\Windows\ ตามตัวอย่างที่บันทึกไว้ ตัวอย่างที่ถูกจับได้ขนาด 13 MB สร้าง dllhost.exe และพยายามปิดการติดตามเหตุการณ์สำหรับ Windows ก่อนที่การตรวจจับพฤติกรรมจะทำให้มันถูกยุติในระหว่างการดำเนินการ
โครงสร้างพื้นฐานการส่งข้อมูล
ข้อมูลจะถูกเก็บใน ZIP ในหน่วยความจำหรือถูกส่งเป็นส่วน ๆ แล้วถูกส่งผ่านปลายทางของ Cloudflare โดยใช้ HMAC-SHA256 X-Auth-Token headers ต่อคำขอและการเข้ารหัส ChaCha20 โครงสร้างพื้นฐานได้พัฒนามาจากการสร้างเริ่มต้นที่ใช้โปรโตคอล TCP ที่เข้ารหัสแบบกำหนดเองและอิง Telegram ไปเป็นการเชื่อมต่อ HTTPS ที่ถูกส่งผ่าน Cloudflare รองรับการอัปโหลดข้อมูลแบบแบ่งส่วนและการส่ง payload
ขอบเขตของเป้าหมาย
การครอบคลุมเบราว์เซอร์และกระเป๋าเงิน
Torg Grabber มุ่งเป้าไปที่เบราว์เซอร์ Chromium 25 รายการและเวอร์ชัน Firefox 8 รายการ โดยพยายามขโมยข้อมูลรับรอง, คุกกี้ และข้อมูลการกรอกอัตโนมัติ ในจำนวนส่วนขยายเบราว์เซอร์ 850 รายการที่มันมุ่งเป้าไปที่ 728 รายการเป็นสำหรับกระเป๋าเงินสกุลเงินดิจิทัล, ครอบคลุม “แทบทุกกระเป๋าเงินสกุลเงินดิจิทัลที่เคยคิดค้นโดยความหวังของมนุษย์” นักวิจัยกล่าวว่า: “ชื่อที่มีชื่อเสียงทั้งหมดอยู่ที่นั่น—MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare—แต่รายชื่อไม่ได้หยุดอยู่แค่ชื่อใหญ่ ๆ”
เป้าหมายเพิ่มเติม
นอกเหนือจากกระเป๋าเงินสกุลเงินดิจิทัลแล้ว มัลแวร์ยังมุ่งเป้าไปที่ส่วนขยาย 103 รายการสำหรับรหัสผ่าน, token และตัวตรวจสอบรวมถึง LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, และ 2FAAuth, GAuth, TOTP Authenticator มันยังมุ่งเป้าข้อมูลจาก Discord, Telegram, Steam, แอป VPN, แอป FTP, ไคลเอนต์อีเมล, โปรแกรมจัดการรหัสผ่าน และโปรแกรมกระเป๋าเงินสกุลเงินดิจิทัลบนเดสก์ท็อป มัลแวร์สามารถสร้างโปรไฟล์โฮสต์, สร้างลายนิ้วมือฮาร์ดแวร์, บันทึกซอฟต์แวร์ที่ติดตั้ง (รวมถึงเครื่องมือป้องกันไวรัส 24 รายการ), ถ่ายภาพหน้าจอ และขโมยไฟล์จากโฟลเดอร์ Desktop และ Documents
ความสามารถทางเทคนิคและวิวัฒนาการ
การต่อต้านการวิเคราะห์และการหลบเลี่ยง
มัลแวร์มีกลไกต่อต้านการวิเคราะห์หลายรายการ, การซ่อนหลายชั้น และใช้ syscalls โดยตรงและการโหลดสะท้อนเพื่อหลบเลี่ยง โดยการรัน payload สุดท้ายทั้งหมดในหน่วยความจำ เมื่อวันที่ 22 ธันวาคม 2025 Torg Grabber ได้เพิ่มการข้ามการเข้ารหัสแบบ App-Bound (ABE) เพื่อเอาชนะระบบป้องกันคุกกี้ของ Chrome (และ Brave, Edge, Vivaldi และ Opera)
โครงสร้างบริการมัลแวร์
การวิเคราะห์ของ Gen Digital พบว่าแท็กผู้ดำเนินการกว่า 40 รายการถูกฝังอยู่ในไบนารี: ชื่อเล่น, ID กลุ่มที่เข้ารหัสวันที่, และ ID ผู้ใช้ Telegram ที่เชื่อมโยงผู้ดำเนินการกับระบบนิเวศอาชญากรรมไซเบอร์ของรัสเซีย โมเดล MaaS อนุญาตให้ผู้ดำเนินการแต่ละคนสามารถติดตั้ง shellcode แบบกำหนดเองหลังการลงทะเบียน ขยายพื้นผิวการโจมตีเกินกว่าการกำหนดค่าพื้นฐาน ตามที่นักวิจัย Gen Digital ได้อธิบายไว้ Torg Grabber ได้พัฒนาจากการส่งข้อมูลแบบ dead drops ของ Telegram ไปเป็น “REST API ระดับการผลิตที่ทำงานเหมือนนาฬิกาสวิสที่จมอยู่ในพิษ”
การประเมินความเสี่ยง
ผู้ใช้ที่เก็บรักษาตัวเอง
ผู้ใช้ที่เก็บรักษาตัวเองซึ่งเก็บ seed phrases ในที่เก็บของเบราว์เซอร์, ไฟล์ข้อความ, หรือโปรแกรมจัดการรหัสผ่านต้องเผชิญกับความเสี่ยงที่จะสูญเสียกระเป๋าเงินทั้งหมดจากการติดเชื้อเพียงครั้งเดียว ตรรกะที่มุ่งเป้าส่วนขยายหมายความว่า Torg Grabber เก็บเกี่ยวข้อมูลรับรองกระเป๋าเงินที่มีอยู่ในเครื่องที่ติดเชื้อใด ๆ โดยไม่คำนึงถึงว่าผู้ใช้เป็นเป้าหมายที่ตั้งใจหรือไม่
ผู้ใช้กระเป๋าเงินแลกเปลี่ยนและฮาร์ดแวร์
สินทรัพย์ที่ถือไว้ในแลกเปลี่ยนไม่ได้ถูกเปิดเผยโดยตรงต่อช่องทางการโจมตีนี้ เนื่องจากมัลแวร์มุ่งเป้าไปที่พื้นที่เก็บข้อมูลรับรองในเครื่อง ไม่ใช่ API ของแลกเปลี่ยนในระดับใหญ่ อย่างไรก็ตาม การโจรกรรม token เซสชันจากที่เก็บของเบราว์เซอร์อาจเปิดเผยบัญชีแลกเปลี่ยนที่เชื่อมต่อหากเซสชันการเข้าสู่ระบบยังคงเปิดอยู่ ผู้ใช้กระเป๋าเงินฮาร์ดแวร์ต้องเผชิญกับความเสี่ยงทางอ้อมเท่านั้นหาก seed phrases ถูกเก็บไว้ในรูปแบบดิจิทัล
คำถามที่พบบ่อย
Torg Grabber ติดเชื้ออุปกรณ์ได้อย่างไร?
มัลแวร์ถูกส่งผ่าน dropper ที่ปลอมตัวเป็นการอัปเดต Chrome ที่ถูกต้องตามกฎหมาย (GAPI_Update.exe) ซึ่งจัดส่งจากโครงสร้างพื้นฐาน Dropbox มันติดตั้งแถบความก้าวหน้าของการอัปเดตความปลอดภัยของ Windows ปลอมซึ่งทำงานเป็นเวลา 420 วินาที ขณะที่ payload ถูกติดตั้ง โดยใช้การจัดการทางสังคมเพื่อรักษาความไว้วางใจของผู้ใช้ในระหว่างการติดเชื้อ
กระเป๋าเงินสกุลเงินดิจิทัลใดที่มีความเสี่ยงมากที่สุด?
มัลแวร์มุ่งเป้าไปที่ส่วนขยายกระเป๋าเงิน 728 รายการทั่วเบราว์เซอร์ Chromium 25 และ Firefox 8 รวมถึง MetaMask, Phantom, TrustWallet, Coinbase Wallet, Binance Wallet, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui และ Solflare ผู้ใช้ใด ๆ ที่ใช้ส่วนขยายกระเป๋าเงินบนเบราว์เซอร์อยู่ในความเสี่ยงโดยตรง
ผู้ใช้สามารถป้องกันตัวเองจาก Torg Grabber ได้อย่างไร?
ผู้ใช้ควรหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ, ระมัดระวังเกี่ยวกับการแจ้งเตือนการอัปเดตปลอม, และพิจารณาใช้กระเป๋าเงินฮาร์ดแวร์สำหรับการถือครองสกุลเงินดิจิทัลที่สำคัญโดยมี seed phrases ที่เก็บไว้แบบออฟไลน์ องค์กรควรบล็อกโดเมนที่เป็นอันตรายที่รู้จักและติดตามสัญญาณของการถูกโจมตีตามที่ Gen Digital ได้บันทึกไว้
