Torg Grabber マルウェアが 728 の暗号ウォレット拡張機能を標的としたアクティブなマルウェア・アズ・ア・サービスのオペレーション

Gen Digitalのサイバーセキュリティ研究者は、Torg Grabberという新しい情報窃盗マルウェアを特定しました。
これは、850のブラウザアドオンにわたる728の暗号通貨ウォレット拡張機能をターゲットにしており、
2025年12月から2026年2月の間に334のユニークなサンプルがコンパイルされた、ライブのマルウェア・アズ・ア・サービス（MaaS）オペレーションとして機能しています。

このマルウェアは、エンドポイントツールが検出を登録する前に、
暗号化されたチャネルを通じてシードフレーズ、プライベートキー、およびセッショントークンを外部に送信します。
それは、正当なChromeアップデート（GAPI_Update.exe）に装ったドロッパーを使用し、
偽のWindowsセキュリティアップデートの進行状況バーを表示します。
この脅威は、25のChromiumブラウザと8のFirefoxバリアントをターゲットにし、
データの外部送信はCloudflareインフラストラクチャを経由して行われ、
ChaCha20暗号化とHMAC-SHA256認証を使用しています。

このマルウェアは活発に開発されており、
毎週新しいコマンド・アンド・コントロール（C2）サーバーが登録され、
ロシアのサイバー犯罪エコシステムに関連する少なくとも40のオペレータータグがあります。

攻撃メカニズムと配信

初期感染チェーン

ドロッパーは、Dropboxインフラストラクチャから配布される60 MBのInnoSetupパッケージ、
GAPI_Update.exeに装っています。それは、
%LOCALAPPDATA%\Connector\に3つの無害なDLLを抽出し、クリーンな足跡を確立し、
ペイロードが展開されている間、正確に420秒間実行される偽のWindowsセキュリティアップデートの進行状況バーを起動します。
最終的な実行可能ファイルは、文書化されたサンプルのC:\Windows\にランダム化された名前でドロップされます。
キャプチャされた13 MBのインスタンスはdllhost.exeを生成し、
イベントトレースを無効にしようとしましたが、行動検出によって実行中に終了されました。

外部送信インフラストラクチャ

データは、メモリ内ZIPにアーカイブされるか、
チャンクでストリームされ、その後Cloudflareエンドポイントを経由して、
リクエストごとのHMAC-SHA256 X-Auth-TokenヘッダーとChaCha20暗号化を使用してルーティングされます。
このインフラストラクチャは、初期ビルドから進化し、
Telegramベースのカスタム暗号化TCPプロトコルを使用して、Cloudflareを経由するHTTPS接続に移行し、
チャンクデータのアップロードとペイロードの配信をサポートしています。

ターゲットの範囲

ブラウザとウォレットのカバレッジ

Torg Grabberは、25のChromiumブラウザと8のFirefoxバリアントをターゲットにし、
認証情報、クッキー、オートフィルデータを盗もうとします。
850のブラウザ拡張機能のうち、728が暗号通貨ウォレットのもので、
「人間の楽観主義によって考案されたほぼすべての暗号ウォレット」をカバーしています。
研究者は次のように述べました：「メジャーな名前はすべて含まれています—MetaMask、Phantom、TrustWallet、Coinbase、Binance、Exodus、TronLink、Ronin、OKX、Keplr、Rabby、Sui、Solflare—しかしリストは大きな名前だけにはとどまりません。」

追加のターゲット

暗号ウォレットを超えて、このマルウェアはパスワード、トークン、および認証器用の103の拡張機能をターゲットにしています。
これには、LastPass、1Password、Bitwarden、KeePass、NordPass、Dashlane、ProtonPass、
および2FAAuth、GAuth、TOTP Authenticatorが含まれます。
また、Discord、Telegram、Steam、VPNアプリ、FTPアプリ、メールクライアント、
パスワードマネージャー、デスクトップの暗号通貨ウォレットアプリケーションからの情報もターゲットにしています。
このマルウェアは、ホストをプロファイリングし、ハードウェアフィンガープリンティングを作成し、
インストールされたソフトウェア（24のアンチウイルスツールを含む）を文書化し、
スクリーンショットを取得し、デスクトップおよびドキュメントフォルダーからファイルを盗むことができます。

技術的能力と進化

逆解析および回避

このマルウェアは、複数の逆解析防止メカニズム、多層的な難読化を特徴としており、
回避のために直接のシステムコールと反射的な読み込みを使用し、
最終的なペイロードを完全にメモリ内で実行します。
2025年12月22日、Torg Grabberは、
Chrome（およびBrave、Edge、Vivaldi、Opera）のクッキー保護システムを破るために、
App-Bound Encryption（ABE）バイパスを追加しました。

マルウェア・アズ・ア・サービス構造

Gen Digitalの分析は、バイナリ内に埋め込まれた40以上のオペレータータグを特定しました：
ニックネーム、日付エンコードされたバッチID、およびTelegramユーザーIDがオペレーターを
ロシアのサイバー犯罪エコシステムにリンクしています。
MaaSモデルは、個々のオペレーターがカスタムシェルコードを登録後に展開できるようにし、
基本構成を超えて攻撃面を拡大します。
Gen Digitalの研究者が説明するように、Torg Grabberは、
Telegramのデッドドロップから「毒に浸したスイス時計のように機能する生産グレードのREST API」へと進化しました。

リスク評価

セルフカストディユーザー

ブラウザストレージ、テキストファイル、またはパスワードマネージャーにシードフレーズを保存している
セルフカストディユーザーは、単一の感染で完全なウォレットの侵害に直面します。
拡張機能をターゲットにするロジックにより、Torg Grabberは、
感染した任意のマシン上に存在するウォレットの認証情報を収穫します。
ユーザーが意図されたターゲットであるかどうかに関係なく。

取引所およびハードウェアウォレットユーザー

取引所で保持されている資産は、この攻撃ベクターに直接さらされることはありません。
マルウェアはローカルの認証情報ストアをターゲットにしており、
取引所APIを大規模に狙っていません。
ただし、ブラウザストレージからのセッショントークンの盗難は、
ログインセッションがアクティブな場合に接続された取引所アカウントを暴露する可能性があります。
ハードウェアウォレットユーザーは、シードフレーズがデジタルに保存されている場合にのみ
間接的なリスクに直面します。

よくある質問

Torg Grabberはどのようにデバイスに感染しますか？

このマルウェアは、Dropboxインフラストラクチャから配布される正当なChromeアップデート（GAPI_Update.exe）に装ったドロッパーを通じて配信されます。
ペイロードがインストールされる間、420秒間実行される偽のWindowsセキュリティアップデートの進行状況バーを展開し、
感染中にユーザーの信頼を維持するためにソーシャルエンジニアリングを使用します。

最もリスクの高い暗号ウォレットはどれですか？

このマルウェアは、25のChromiumブラウザと8のFirefoxブラウザにわたる728のウォレット拡張機能をターゲットにしており、
MetaMask、Phantom、TrustWallet、Coinbase Wallet、Binance Wallet、Exodus、TronLink、Ronin、OKX、Keplr、Rabby、Sui、Solflareが含まれます。
ブラウザベースのウォレット拡張機能を実行しているユーザーは、直接リスクにさらされています。

ユーザーはどのようにTorg Grabberから自分を守ることができますか？

ユーザーは、信頼できないソースからソフトウェアをダウンロードしないようにし、
偽のアップデートプロンプトに疑いを持ち、
重要な暗号資産にはオフラインでシードフレーズを保存したハードウェアウォレットを使用することを検討するべきです。
組織は、既知の悪意のあるドメインをブロックし、
Gen Digitalによって文書化された妥協の指標を監視する必要があります。