Torg Grabber 惡意程式在活躍的惡意程式即服務（MaaS）作業中鎖定 728 個加密貨幣錢包擴充功能

Gen Digital 的網路安全研究人員已識別出一種新的資訊竊取惡意程式（infostealer），名為 Torg Grabber，它針對 728 個加密貨幣錢包擴充功能（wallet extensions），分佈在 850 個瀏覽器附加元件（browser add-ons）中運作，屬於一種即時的惡意程式即服務（Malware-as-a-Service，MaaS）作業模式，且在 2025 年 12 月至 2026 年 2 月期間編譯了 334 個獨特樣本。

該惡意程式會透過加密通道外流（exfiltrates）助記詞（seed phrases）、私鑰（private keys）以及會話令牌（session tokens），在多數端點工具完成偵測註冊之前就已竊取。它使用偽裝成合法 Chrome 更新的投遞程式（dropper）（GAPI_Update.exe），部署一個假的 Windows Security Update 進度列（progress bar）。威脅目標包括 25 款 Chromium 瀏覽器與 8 款 Firefox 變體，且以 Cloudflare 基礎設施作為資料外流路由，透過 ChaCha20 加密與 HMAC-SHA256 驗證。

該惡意程式仍在積極開發中：每週註冊新的指揮與控制（C2）伺服器，並至少連結了 40 個操作員標籤（operator tags）至俄羅斯網路犯罪生態系。

攻擊機制與投遞（Delivery）

初始感染鏈

投遞程式偽裝成 GAPI_Update.exe，為一個 60 MB 的 InnoSetup 套件，從 Dropbox 基礎設施分發。它將三個良性 DLL 解壓到 %LOCALAPPDATA%\Connector\ 以建立看似乾淨的足跡，接著在惡意載荷部署期間啟動一個偽造的 Windows Security Update 進度列，並且正好執行 420 秒。最後一個可執行檔會以隨機化名稱落在 C:\Windows\，在已記錄的樣本中均有出現。研究人員捕獲的一個 13 MB 實例會產生 dllhost.exe，並嘗試在行為偵測終止其執行之前停用 Windows 的事件追蹤（Event Tracing）。

外流基礎設施

資料會被歸檔到記憶體中的 ZIP，或以區塊（chunks）串流方式傳輸，然後透過 Cloudflare 端點路由，並在每次請求中使用帶有 HMAC-SHA256 的 X-Auth-Token 標頭以及 ChaCha20 加密。該基礎設施從最初的版本演變而來：一開始使用基於 Telegram 的方式與自訂的加密 TCP 通訊協定，後來改為連線到透過 Cloudflare 路由的 HTTPS，支援分區資料上傳與載荷投遞。

目標範圍

瀏覽器與錢包涵蓋範圍

Torg Grabber 針對 25 款 Chromium 瀏覽器與 8 款 Firefox 變體，嘗試竊取憑證（credentials）、Cookie 以及自動填入（autofill）資料。在它所針對的 850 個瀏覽器擴充功能中，有 728 個是加密貨幣錢包。研究人員指出：「幾乎所有人類樂觀所能設想的加密錢包，這份清單中都包含在內。」研究人員還提到：「主打的名字全都在——MetaMask、Phantom、TrustWallet、Coinbase、Binance、Exodus、TronLink、Ronin、OKX、Keplr、Rabby、Sui、Solflare——但名單並不只停在大牌。」

其他目標

除加密貨幣錢包外，該惡意程式還針對 103 個用於密碼、令牌與驗證器（authenticator）的擴充功能，包括 LastPass、1Password、Bitwarden、KeePass、NordPass、Dashlane、ProtonPass，以及 2FAAuth、GAuth、TOTP Authenticator。它也會針對 Discord、Telegram、Steam、VPN 應用程式、FTP 應用程式、電子郵件用戶端、密碼管理器（password managers）以及桌面版加密貨幣錢包應用程式的資訊。惡意程式能對主機進行剖析（profile the host）、建立硬體指紋（hardware fingerprint）、記錄已安裝的軟體（包含 24 種防毒工具）、截圖（take screenshots），並從桌面（Desktop）與文件（Documents）資料夾竊取檔案。

技術能力與演進

反分析與規避

該惡意程式具備多種反分析機制、多層次混淆（multi-layered obfuscation），並使用直接系統呼叫（direct syscalls）與反射式載入（reflective loading）以進行規避，且將最終載荷完全在記憶體中執行。於 2025 年 12 月 22 日，Torg Grabber 新增了 App-Bound Encryption（ABE）繞過，以擊敗 Chrome（以及 Brave、Edge、Vivaldi 與 Opera）的 Cookie 保護系統。

惡意程式即服務（MaaS）結構

Gen Digital 的分析在可執行檔中辨識出超過 40 個操作員標籤（operator tags）：包含暱稱（nicknames）、以日期編碼的批次 ID（date-encoded batch IDs），以及連結操作員到俄羅斯網路犯罪生態系的 Telegram 使用者 ID。MaaS 模式允許個別操作員在註冊後部署自訂 shellcode（自訂殼層碼），使攻擊面超出原始設定（base configuration）。正如 Gen Digital 的研究人員所描述，Torg Grabber 已從「Telegram 死信匣( dead drops )」演變成「一個達到量產等級的 REST API，其運作就像浸入毒藥的瑞士手錶。」

風險評估

自我保管（Self-Custody）使用者

將助記詞存放在瀏覽器儲存（browser storage）、文字檔或密碼管理器中的自我保管使用者，在單次感染（single infection）下可能面臨完整錢包遭入侵（complete wallet compromise）。由於其針對擴充功能的邏輯（extension-targeting logic）意味著 Torg Grabber 會在任何遭感染的機器上擷取到的錢包憑證，不論使用者是否為被預期的目標。

交易所與硬體錢包使用者

持有於交易所（exchange）的資產並未直接暴露於此攻擊向量，因為該惡意程式針對的是本機憑證儲存（local credential stores），而非規模化（at scale）的交易所 API。然而，若存在登入中的會話令牌（session token）被從瀏覽器儲存竊取，則可能使已連線的交易所帳戶暴露風險。硬體錢包使用者僅在將助記詞以數位方式存放時面臨間接風險。

常見問題（FAQ）

Torg Grabber 是如何感染裝置的？

該惡意程式透過投遞程式（dropper）傳遞，該投遞程式偽裝成合法的 Chrome 更新（GAPI_Update.exe），並從 Dropbox 基礎設施分發。它在惡意載荷安裝期間部署一個偽造的 Windows Security Update 進度列，持續 420 秒，並透過社會工程（social engineering）在感染期間維持使用者信任。

哪些加密貨幣錢包風險最高？

該惡意程式針對跨 25 款 Chromium 與 8 款 Firefox 瀏覽器的 728 個錢包擴充功能，其中包括 MetaMask、Phantom、TrustWallet、Coinbase Wallet、Binance Wallet、Exodus、TronLink、Ronin、OKX、Keplr、Rabby、Sui 與 Solflare。任何使用者只要在其瀏覽器上運行錢包擴充功能，就面臨直接風險。

使用者如何保護自己免受 Torg Grabber 影響？

使用者應避免從不可信來源下載軟體、對偽造的更新提示保持警惕，並考慮對於大量加密持有使用硬體錢包（hardware wallets），且將助記詞以離線方式保存。組織應封鎖已知的惡意網域，並監控由 Gen Digital 所記錄的被攻陷指標（indicators of compromise）。