Torg Grabber hat es laut Gen Digital auf 25 Chromium-basierte Browser und acht Firefox-Varianten abgesehen und versucht dort, Zugangsdaten, Cookies und Autovervollständigungs-Daten zu erbeuten. Von den insgesamt 850 anvisierten Browser-Erweiterungen entfallen 728 auf Kryptowährungs-Wallets – nach Beschreibung der Forscher praktisch jede Wallet, die je aus menschlichem Optimismus entstanden sei.
Die Liste umfasst die bekannten Namen wie MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui und Solflare, reicht laut Gen Digital aber weit darüber hinaus bis zu sehr kleinen Projekten mit minimalen Installationszahlen. Hinzu kommen 103 Erweiterungen für Passwörter, Tokens und Authenticator-Apps, darunter LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, Psono, Pleasant Password Server, heylogin, 2FAAuth, GAuth, TOTP Authenticator und Akamai MFA. Auch Daten aus Discord, Telegram, Steam, VPN- und FTP-Anwendungen, E-Mail-Clients sowie Desktop-Wallet-Programmen werden abgegriffen.
Zur Datenausleitung nutzten die ersten Versionen zunächst Telegram und anschließend ein eigenes, verschlüsseltes TCP-Protokoll. Am 18. Dezember 2025 wurden beide Verfahren zugunsten einer über Cloudflare-Infrastruktur geleiteten HTTPS-Verbindung aufgegeben, die stückweise Daten-Uploads und die Auslieferung von Schadcode unterstützt.
Die Malware setzt direkte Systemaufrufe und reflektives Laden zur Tarnung ein und führt ihre finale Komponente vollständig im Arbeitsspeicher aus. Am 22. Dezember 2025 kam eine Umgehung der App-Bound Encryption (ABE) hinzu, mit der das Cookie-Schutzsystem von Chrome sowie von Brave, Edge, Vivaldi und Opera ausgehebelt wird.
Daneben entdeckten die Forscher ein eigenständiges Werkzeug namens Underground zum Auslesen von Browser-Daten. Es injiziert reflektiv eine DLL in den Browser, um über Chromes COM-Elevation-Service den Hauptverschlüsselungsschlüssel zu extrahieren – eine Methode, die zuletzt auch bei VoidStealer beobachtet wurde.
Torg Grabber kann den befallenen Rechner zudem profilieren, einen Hardware-Fingerabdruck erstellen, installierte Software einschließlich 24 Antiviren-Werkzeugen dokumentieren, Screenshots des Desktops anfertigen sowie Dateien aus den Ordnern Desktop und Dokumente stehlen. Hervorzuheben ist außerdem die Fähigkeit, Shellcode auf dem kompromittierten Gerät auszuführen, der in ChaCha-verschlüsselter und mit zlib komprimierter Form vom C2-Server geliefert wird.
Gen Digital warnt, dass sich Torg Grabber rasant weiterentwickelt, wöchentlich neue C2-Domains registriert und seine Betreiberbasis wächst – zum Zeitpunkt der Analyse waren 40 Kennungen dokumentiert.
