Negli ultimi mesi i ricercatori di Gen Digital hanno mappato una nuova minaccia chiamata Torg Grabber, un infostealer progettato principalmente per sottrarre criptovalute e dati sensibili dagli utenti. Tra diciembre 2026 e febbraio 2026 sono stati rilevati 334 campioni e nuovi server di comando e controllo registrati con frequenza settimanale, segno che il progetto è in rapida evoluzione. Questa introduzione illustra il quadro generale: un malware modulare, attivo e con capacità di adattamento che aumenta il rischio per chi opera con asset digitali.
Vettori di distribuzione e struttura modulare
La catena d’infezione di Torg Grabber si basa su tre vettori principali: giochi pirata, cheat per videogiochi e la tecnica nota come ClickFix, che indurre l’utente ad eseguire comandi PowerShell fingendo un aggiornamento di Windows.
Il malware è composto da tre moduli distinti: dropper, loader e payload finale; il dropper deposita i file, il loader li carica in memoria e il payload avvia la raccolta e l’esfiltrazione dei dati. Questa separazione rende gli attacchi più difficili da bloccare con un singolo controllo.
Tecniche di esfiltrazione e comunicazione con i server
Per trasferire i dati rubati gli attaccanti utilizzano tre canali distinti: bot su Telegram, connessioni TCP cifrate e traffico HTTPS instradato tramite Cloudflare, quest’ultimo impiegato dalle versioni più recenti. L’uso di Cloudflare rende il traffico simile a quello legittimo, complicando il rilevamento da parte dei sistemi di sicurezza aziendali. La presenza di nuovi server C2 ogni settimana indica inoltre un’infrastruttura dinamica, progettata per rimanere resiliente anche quando singoli nodi vengono bloccati.
Evitare il rilevamento
Il codice di Torg Grabber include diverse contromisure per aggirare la scoperta: tecniche di offuscamento, caricamento in memoria e bypass di protezioni dei browser, incluso il tentativo di eludere l’App-Bound Encryption di Chrome. In pratica, gli autori cercano di ridurre la visibilità delle proprie attività e di forzare l’accesso diretto a risorse che solitamente sono protette. Questa strategia aumenta il costo tecnico per la difesa, costringendo le vittime e gli operatori a adottare controlli più sofisticati.
Obiettivi principali: browser, estensioni e wallet
Il focus di Torg Grabber è chiaro: intercettare credenziali e asset legati alle criptovalute. Il malware è in grado di riconoscere 25 browser basati su Chromium e 8 basati su Firefox, oltre a identificare 728 estensioni per cryptowallet, praticamente l’intero panorama disponibile.
Dalle estensioni estrae chiavi private, dati di sessione e seed phrase, ma non si limita al browser: può rubare anche da applicazioni desktop, raccogliere informazioni da 103 estensioni di password manager e 31 estensioni per l’autenticazione a due fattori, oltre a dati VPN, client email, app di messaggistica e file nella cartella Documenti.
Quanto è pericoloso per gli utenti crypto?
Per gli investitori in criptovalute la minaccia è elevata: la compromissione di una seed phrase o di una chiave privata si traduce quasi sempre nella perdita immediata dei fondi. Wallet software e estensioni rendono più semplice l’accesso, ma anche più vulnerabile se il dispositivo è infetto. Il fenomeno implica che gli attacchi non mirano più solo a singoli portafogli, ma all’intero ecosistema dell’utente, sfruttando vulnerabilità umane (download di file non ufficiali) e tecniche di abuso dei sistemi operativi.
Contromisure pratiche per privati e aziende
Per mitigare il rischio è fondamentale combinare buone pratiche e controlli tecnici: evitare software non ufficiale, non eseguire script PowerShell sconosciuti, attivare protezioni comportamentali sugli endpoint e analizzare il traffico HTTPS sospetto. Gli utenti crypto dovrebbero preferire hardware wallet, segmentare fondi tra wallet diversi e limitare le estensioni installate. Le aziende fintech e gli exchange devono investire in education, controllo dei dispositivi e sistemi di rilevazione che analizzino attività anomale, poiché la sola protezione applicativa non è più sufficiente contro infostealer moderni.
