Malware Infostealer Baru “Torg Grabber” Targetkan 728 Dompet Kripto
Sebuah malware pencuri informasi (infostealer) jenis baru yang dijuluki Torg Grabber dilaporkan tengah aktif mencuri data sensitif dari 850 ekstensi peramban (browser). Mengerikannya, lebih dari 700 di antaranya secara spesifik merupakan ekstensi dompet mata uang kripto (cryptocurrency wallets).
Peretas memperoleh akses awal ke sistem korban melalui teknik rekayasa sosial bernama ClickFix. Teknik ini bekerja dengan cara membajak papan klip (clipboard) dan mengelabui pengguna agar mengeksekusi perintah PowerShell berbahaya tanpa mereka sadari.
Menurut para peneliti di perusahaan keamanan siber Gen Digital, Torg Grabber dikembangkan dengan sangat aktif. Tim peneliti menemukan 334 sampel unik yang dikompilasi hanya dalam kurun waktu tiga bulan (antara Desember 2025 hingga Februari 2026), dengan server komando dan kontrol (C2) baru yang didaftarkan setiap minggunya.
Selain menyasar dompet kripto, Torg Grabber juga merampas data dari 103 alat pengelola kata sandi (password managers) dan autentikasi dua faktor (2FA), serta 19 aplikasi pencatat (note-taking apps).
Evolusi Cepat dan Canggih
Dalam laporan teknis yang dirilis pekan ini, peneliti Gen Digital memaparkan bahwa versi awal Torg Grabber menggunakan platform Telegram dan protokol TCP terenkripsi kustom untuk mengeksfiltrasi (mengeluarkan) data curian. Namun, pada 18 Desember 2025, kedua mekanisme lawas tersebut ditinggalkan. Penyerang beralih menggunakan koneksi HTTPS yang dirutekan dengan aman melalui infrastruktur Cloudflare, yang kini mendukung unggahan data secara bertahap (chunked data uploads) dan pengiriman payload lanjutan.
Malware ini juga dilengkapi dengan sejumlah mekanisme anti-analisis yang canggih, seperti:
- Obfuskasi (penyandian kode) berlapis.
- Penggunaan panggilan sistem langsung (direct syscalls) dan pemuatan reflektif (reflective loading) untuk menghindari deteksi perangkat lunak keamanan.
- Berjalan sepenuhnya di dalam memori (in-memory execution) tanpa meninggalkan jejak fail di cakram keras.
Pada akhir Desember lalu, Torg Grabber menambahkan kemampuan penembusan App-Bound Encryption (ABE) untuk mengelabui sistem pelindungan cookie di berbagai peramban populer seperti Chrome, Brave, Edge, Vivaldi, dan Opera. Para peneliti juga menemukan alat mandiri bernama “Underground” yang menyuntikkan file DLL secara reflektif ke dalam peramban untuk mengakses COM Elevation Service Chrome demi mengekstraksi kunci enkripsi utama.
Spektrum Pencurian Data yang Masif
Dari hasil investigasi Gen Digital, Torg Grabber mampu menyerang 25 peramban berbasis Chromium dan 8 varian Firefox untuk mencuri kredensial, cookie, dan data isi-otomatis (autofill).
Rincian target ekstensinya sangat mencengangkan:
- 728 Ekstensi Dompet Kripto: Meliputi nyaris seluruh proyek kripto yang ada, mulai dari nama besar seperti MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare, hingga proyek-proyek kecil yang jarang diketahui publik.
- 103 Ekstensi Keamanan: Mencakup LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, Psono, Pleasant Password Server, heylogin, 2FAAuth, GAuth, TOTP Authenticator, dan Akamai MFA.
Lebih dari itu, Torg Grabber juga menargetkan pencurian sesi dan data dari aplikasi Discord, Telegram, Steam, klien VPN, klien FTP, aplikasi email, hingga aplikasi dompet kripto versi desktop. Saat berhasil menginfeksi, malware ini akan membuat profil host, mencetak sidik jari perangkat keras (hardware fingerprint), mendata perangkat lunak yang terinstal (termasuk 24 jenis antivirus), mengambil tangkapan layar desktop pengguna, dan mencuri berkas dari folder Desktop dan Documents.
Malware ini juga memiliki kapabilitas untuk mengeksekusi shellcode pada perangkat yang terkompromi, yang dikirimkan dari server C2 dalam bentuk kompresi zlib yang dienkripsi menggunakan ChaCha.
Gen Digital memperingatkan bahwa Torg Grabber terus berkembang biak dengan sangat cepat dan basis operatornya (affiliates) terus meluas seiring berjalannya waktu.
