Torg Grabber zeigt alle Merkmale einer professionell entwickelten Bedrohung. Zwischen Dezember 2025 und Februar 2026 wurden bereits 334 unterschiedliche Varianten kompiliert — ein klares Zeichen für intensive Entwicklungsaktivitäten. Wöchentlich registrieren die Angreifer neue Command-and-Control-Server, was auf eine gut organisierte Cyberkriminalorganisation hindeutet.
Besonders bemerkenswert ist die Durchdringlichkeit des Schädlings. Die Malware nutzt mehrschichtige Verschleierungstechniken, Direct-Syscalls und reflektive Techniken, um Sicherheitssysteme zu umgehen. Anfangs kommunizierte Torg Grabber über Telegram oder ein eigenes TCP-Protokoll mit den Command-Server. Seit dem 18. Dezember 2025 wurde dies durch HTTPS-Verbindungen über Cloudflare-Infrastruktur ersetzt — eine Taktik, die Datenverkehr verschleiert und die Detektion erschwert.
Eine kritische Neuerung kam am 22. Dezember hinzu: Das Umgehen von Googles App-Bound Encryption (ABE), das Cookies in Chrome, Brave, Edge und Opera schützt. Dies ermöglicht es Torg Grabber, auch verschlüsselte Browserdaten zu extrahieren. Ein zusätzliches Tool namens Underground injiziert DLLs direkt in Browser und greift auf Chromes COM Elevation Service zu, um Master-Verschlüsselungsschlüssel zu stehlen.
Die Zielpalette ist umfassend: 25 Chromium-basierte Browser und acht Firefox-Varianten wurden dokumentiert. Neben den bekannten Krypto-Wallets wie Binance, Exodus und Ronin werden auch weniger populäre Wallets angegriffen. Besonders problematisch ist die Fähigkeit, auf 103 verschiedene Passwort-Manager zuzugreifen — darunter 1Password, Bitwarden, Dashlane und ProtonPass.
Darüber hinaus stiehlt Torg Grabber Zugangsdaten für Discord, Telegram und Steam, erfasst System-Informationen einschließlich 24 Antivirus-Tools, erstellt Hardware-Fingerprints und exfiltriert Dateien von Desktop und Dokumenten-Ordnern. Die Fähigkeit zur Ausführung von Shellcode komplettiert das Arsenal.
Besonders besorgniserregend ist die breite Operatorbasis: Gen Digital dokumentierte bereits 40 verschiedene Tags, die auf mindestens ebenso viele unterschiedliche Angreifer hindeuten. Dies deutet darauf hin, dass Torg Grabber möglicherweise als Malware-as-a-Service verbreitet wird.
Für Nutzer bedeutet dies: Regelmäßige Updates, Mehrfaktor-Authentifizierung und Vorsicht beim Klicken auf Links sind essentiell. Unternehmen sollten Browser-Erweiterungen inventarisieren und nur notwendige installieren. Sicherheitslösungen müssen kontinuierlich aktualisiert werden, um mit dieser sich schnell entwickelnden Bedrohung Schritt zu halten.