新惡意程式 Torg Grabber 鎖定 700+ 加密貨幣錢包　瀏覽器型自我託管錢包安全亮紅燈

一款名為「Torg Grabber（트로그 그랩버）」的全新資訊竊取惡意程式，近期已在實際攻擊中被廣泛使用，直接鎖定超過「700 個以上的加密貨幣錢包」。這類攻擊特別威脅「瀏覽器型錢包」以及「自我託管」環境，引發業界對「加密貨幣錢包安全」的新一波警訊。

根據資安業者 Gen Digital 的最新分析報告（當地時間 24 日），Torg Grabber 能在 25 種「Chromium」系瀏覽器與 8 種「Firefox」系瀏覽器中運作，掃描總計約 850 款瀏覽器擴充功能，其中有 728 款被確認為「加密貨幣錢包」相關外掛。被鎖定的錢包包括 MetaMask、Phantom 等主流「熱錢包」，惡意程式會竊取「種子片語」、「私鑰」以及「登入工作階段 Token」，並在本地加密後傳送至攻擊者伺服器。

這波攻擊採用「假更新」手法進行社交工程。感染流程從一個偽裝成 Chrome 更新程式的執行檔「GAPI_Update.exe」開始，檔案大小約 60MB，透過 Dropbox 基礎設施進行投遞。使用者一旦執行該檔案，系統會產生看似正常的 DLL 檔，用以隱藏實際惡意行為。

之後，受害者螢幕會出現持續約 420 秒的「Windows 安全更新」假畫面，在此期間真正的惡意 Payload 會在背景安裝。最終的惡意執行檔會以隨機檔名建立，藉此增加在系統中被偵測與追蹤的難度。

在「資料外洩」階段，Torg Grabber 使用「ChaCha20」加密演算法結合「HMAC-SHA256」驗證機制，將竊取的敏感資訊加密後，透過「Cloudflare」相關基礎設施對外傳輸。研究人員指出，這套結構在穩定性與隱蔽性上都明顯優於一般常見惡意程式，屬於「接近商業級水準」的攻擊框架。

評論：從通訊加密與基礎設施選擇來看，攻擊者對資安防護與流量偽裝有相當深入理解，並非低階腳本小偷。

此次事件最引人關注的是「728 個被鎖定的錢包擴充功能」。研究團隊指出，這個數量並非隨機蒐集，而是經過「安裝量」與「使用者基數」評估後有系統地納入，顯示攻擊者明確鎖定「使用者規模龐大」的瀏覽器錢包生態。

Torg Grabber 並非針對特定高價值目標進行「定向攻擊」，而是對所有遭感染系統進行「自動化、無差別掃描」。只要電腦中存在錢包擴充功能或相關憑證資訊，就會被打包並傳送給攻擊者。像 MetaMask 這種月活用戶以千萬計的主流錢包，自然成為高命中率的攻擊標的。

在這種攻擊模式下，「自我託管」用戶承受的風險尤其突出。若使用者將「種子片語」儲存在瀏覽器儲存空間、純文字檔案、或一般密碼管理工具中，一次感染就可能導致「所有資產一次性被清空」。相對之下，集中式交易所內的資產雖非首要鎖定對象，但若「登入 Session Token」遭竊，同樣存在帳號被遠端登入、進一步提領資產的實際風險。

評論：自我託管的優勢在於掌控私鑰，但只要端點設備一旦失守，這種優勢會瞬間反轉成為單點失敗風險。

在攻擊基礎設施溯源過程中，研究團隊發現超過 40 組「操作者標籤」與「Telegram 帳號 ID」，經交叉比對後，研判至少有 8 名主要操作者與「俄羅斯網路犯罪」生態圈存在關聯。

更值得注意的是，Torg Grabber 以「惡意軟體即服務（MaaS, Malware-as-a-Service）」模式對外營運。只要支付費用註冊，任何攻擊者都能取得這套平台，並可自行加入額外 Shellcode，以擴充攻擊功能與範圍。Gen Digital 將其評價為「基於 REST API 的高度模組化攻擊系統」，可以讓不同操作者快速串接、自訂攻擊流程。

目前被鎖定的「728 個錢包」實際上只是「現階段快照」。在 MaaS 模式下，只要平台使用者與客戶數量持續增加，攻擊目標列表很可能會快速擴張，納入更多新興錢包與 DeFi 工具。

過去像 Vidar、RedLine 等資訊竊取程式，也都採取類似服務化模式，隨著犯罪客戶群擴散，攻擊範圍在短時間內急遽成長。Torg Grabber 則是在此基礎上，進一步結合更完整的加密傳輸與後端管理架構，被視為「新一代加密貨幣錢包竊取工具」的代表之一。

評論：MaaS 讓技術門檻大幅降低，未來真正的瓶頸將不在技術，而是誰能最快取得、變現被竊取的資產。

隨著「加密貨幣市場」不斷擴大，圍繞在「瀏覽器型錢包」周邊的安全風險也同步放大。Torg Grabber 案例清楚顯示，在「自我託管」環境下，安全管理已不再是可有可無的選項，而是保護資產的「必要前提」。

對一般用戶而言，降低這類攻擊風險的關鍵包含：

・避免在瀏覽器或純文字檔中儲存「種子片語」、「私鑰」等敏感資訊

・為大額資產使用「硬體錢包」等離線設備

・從官方或可信來源更新瀏覽器與擴充功能，警惕「更新提示」執行檔

・定期檢查裝置是否存在異常程式與不明擴充功能

評論：當攻擊工具已經做到「商業級」與「服務化」，用戶端唯一能做的，就是把「端點設備與私鑰管理」視為與資產本身同等重要的投資。