Si chiama Torg Grabber ed è il nuovo malware che sta facendo preoccupare parecchio gli esperti di sicurezza informatica. Scoperto dai ricercatori di Gen Digital, questo software malevolo appartiene alla categoria degli infostealer, quei programmi progettati per sottrarre dati sensibili dai dispositivi infetti. Ma rispetto ai suoi “colleghi” più noti, Torg Grabber alza decisamente l’asticella. Il suo bersaglio principale? Le criptovalute, con un arsenale di tecniche che lo rende particolarmente insidioso e difficile da intercettare.
Tra dicembre 2025 e febbraio 2026, sono stati individuati ben 334 campioni del malware, e ogni settimana spuntano nuovi server di comando e controllo. Il che significa una cosa sola: Torg Grabber è ancora in pieno sviluppo attivo, e il numero di attacchi è destinato a crescere nei prossimi mesi.
Come avviene l’infezione e perché è così efficace
Le modalità con cui Torg Grabber riesce a intrufolarsi nei computer sono tre, e tutte piuttosto subdole. La prima passa attraverso giochi pirata scaricati da fonti non ufficiali. La seconda sfrutta i trucchi (cheat) per videogiochi, un’esca perfetta per chi cerca scorciatoie nel gaming. La terza, forse la più raffinata, utilizza la tecnica nota come ClickFix: all’utente viene mostrato un falso aggiornamento di Windows, che chiede di eseguire un comando PowerShell. Peccato che quel comando scarichi in realtà il componente iniziale dell’infezione.
Il malware funziona con una struttura a tre livelli. Un primo elemento copia i file necessari sul computer, un secondo li carica in memoria, e il terzo inizia concretamente a raccogliere e rubare dati. Anche le modalità con cui Torg Grabber spedisce le informazioni rubate ai suoi creatori si sono evolute nel tempo: si è passati dai bot Telegram a connessioni TCP crittografate, fino alle versioni più recenti che sfruttano connessioni HTTPS attraverso Cloudflare, rendendo il traffico malevolo ancora più difficile da distinguere da quello legittimo.
Un dettaglio che fa riflettere: Torg Grabber è in grado di aggirare la protezione App-Bound Encryption di Chrome, una delle difese più recenti introdotte da Google per proteggere i dati degli utenti.
Un arsenale impressionante contro wallet e password manager
Quello che rende Torg Grabber davvero temibile è la portata delle sue capacità. Riesce a individuare 25 browser basati su Chromium e 8 basati su Firefox, da cui sottrae credenziali di accesso, dati di pagamento e cookie. Ma il cuore della sua attività resta il furto di criptovalute.
Il malware è capace di identificare 728 estensioni per cryptowallet, praticamente la totalità di quelle disponibili. Intercetta chiavi private, dati di sessione e seed phrase, ovvero quella sequenza di parole che permette di recuperare (e quindi controllare) un portafoglio digitale. E non si ferma alle estensioni del browser: Torg Grabber colpisce anche le applicazioni desktop dedicate alla gestione delle criptovalute.
Come se non bastasse, il malware accede ai dati di 103 estensioni di password manager e 31 estensioni dedicate all’autenticazione a due fattori. Per completare il quadro, Torg Grabber raccoglie informazioni sul sistema operativo, dati provenienti da VPN, client di posta elettronica, app di messaggistica e file contenuti nella cartella Documenti.
