Es ist ein Angriff auf alles, was Krypto-Anlegern heilig ist. Während wir uns bisher Sorgen um einzelne Phishing-Mails machten, agiert die neue Malware-Entdeckung Torg Grabber in einer völlig anderen Dimension. Ein aktueller Bericht der Sicherheitsforscher von Gen Digital, der detailliert auf BleepingComputer veröffentlicht wurde, enthüllt einen Infostealer, der es auf stolze 850 Browser-Erweiterungen abgesehen hat. Davon sind über 700 speziell für Kryptowährungen entwickelt worden.
Ich habe die technische Entwicklung dieses Stealers analysiert. Die Täter nutzen keine veralteten Skripte, sondern entwickeln ihr Werkzeug mit einer beängstigenden Geschwindigkeit weiter: 334 verschiedene Versionen wurden allein in den letzten drei Monaten kompiliert. Hier ist meine konsequente Aufarbeitung, wie Torg Grabber durch die sogenannte „ClickFix“-Technik deine Zwischenablage kapert und warum selbst die moderne Verschlüsselung von Google Chrome diese Diebe nicht mehr stoppt.
Die ClickFix-Falle im Terminal
Der Erstzugriff erfolgt heute oft über psychologische Manipulation, gepaart mit technischer Finesse. Die Malware nutzt die „ClickFix“-Methode. Dabei wird dem Nutzer vorgegaukelt, ein technisches Problem auf einer Webseite ließe sich durch das Kopieren und Ausführen eines Befehls lösen. Sobald du diesen Code in dein PowerShell-Terminal kopierst, übernimmt Torg Grabber lautlos das System.
Die Malware nistet sich direkt im Arbeitsspeicher (Reflective Loading) ein, was sie für herkömmliche Antiviren-Programme nahezu unsichtbar macht. Einmal aktiv, beginnt der massive Datenabfluss. Die Diebe haben es nicht nur auf die „Big Player“ wie MetaMask, Phantom oder Coinbase abgesehen. Die Liste der Ziele ist so lang, dass sie praktisch jedes jemals erdachte Krypto-Projekt abdeckt – bis hin zu Nischen-Wallets mit nur einer Handvoll Nutzern.
Der Fall der Browser-Festung: ABE-Bypass
Lange Zeit galt die „App-Bound Encryption“ (ABE) von Chrome und anderen Chromium-basierten Browsern (wie Edge oder Brave) als der sicherste Schutz für Cookies und Anmeldedaten. Die Idee dahinter: Nur die App selbst kann ihre eigenen verschlüsselten Daten lesen.
Doch die Entwickler von Torg Grabber haben dieses Schutzschild bereits im Dezember 2025 konsequent durchbrochen. Die Malware nutzt ein integriertes Tool namens „Underground“. Dieses injiziert eine DLL in den Browser-Prozess, um über den COM Elevation Service von Windows direkt an den Master-Verschlüsselungs-Key zu gelangen. Damit liegen Cookies, Passwörter aus 103 verschiedenen Managern (darunter LastPass, 1Password und Bitwarden) sowie 2FA-Tokens völlig ungeschützt vor den Angreifern. Wir müssen verstehen, dass die Sicherheit innerhalb des Browsers ab heute nicht mehr als absolut angesehen werden kann.
Der Bedrohungs-Check: Was wird gestohlen?
Um die Reichweite dieses Infostealers zu verdeutlichen, habe ich die primären Ziele der Torg Grabber Kampagne gegenübergestellt.
| Kategorie | Betroffene Anwendungen | Primäre Gefahr |
|---|---|---|
| Krypto-Wallets | MetaMask, Phantom, Coinbase, Exodus, Keplr, uvm. (728 Ziele) | Totalverlust der digitalen Assets (Seeds & Keys) |
| Passwort-Manager | LastPass, 1Password, Bitwarden, KeePass, NordPass | Übernahme aller verknüpften Konten (Bank, Mail) |
| Kommunikation | Discord, Telegram (Desktop), Steam, Email-Clients | Identitätsdiebstahl und Social Engineering |
| Infrastruktur | VPN Apps, FTP Clients, Desktop-Wallets | Infiltration von Unternehmensnetzwerken |
FAQ: Fakten zur Torg-Grabber-Bedrohung
Die Geschwindigkeit der Malware-Entwicklung sorgt für viele Rückfragen. Hier sind die wichtigsten Informationen.
Wie infiziert Torg Grabber meinen PC?
Meist über manipulierte Webseiten, die dich dazu bringen, einen Befehl in die PowerShell zu kopieren (ClickFix). Die Malware nutzt zudem das Kapern der Zwischenablage (Clipboard Hijacking), um deine Eingaben zu manipulieren.
Sind meine Passwörter in Bitwarden oder 1Password sicher?
Wenn du die Browser-Erweiterung nutzt und dein PC infiziert ist, kann Torg Grabber durch den ABE-Bypass den Master-Key extrahieren und auf deine gespeicherten Passwörter zugreifen. Die Desktop-Applikationen mit zusätzlicher Hardware-Absicherung gelten als sicher.
Welche Browser sind von der Malware betroffen?
Die Forscher identifizierten Angriffe auf 25 Chromium-basierte Browser (Chrome, Edge, Opera, Brave, Vivaldi) sowie 8 verschiedene Firefox-Varianten.
Wie kann ich mich vor diesem Infostealer schützen?
Führe niemals Befehle aus, die du von Webseiten kopiert hast. Nutze für deine Krypto-Vermögen zwingend Hardware-Wallets, die physisch vom Browser getrennt sind. Aktiviere Multi-Faktor-Authentifizierung (MFA) ausschließlich über Hardware-Keys oder dedizierte Geräte, nicht über Browser-Extensions.
Schlussendlich zeigt der Fall Torg Grabber eine bittere Wahrheit: Wer seine sensiblen Finanzdaten und Passwörter ausschließlich der Software-Verschlüsselung eines Browsers anvertraut, handelt im Jahr 2026 fahrlässig. Die Angreifer haben bewiesen, dass sie jede digitale Barriere in Rekordzeit einreißen können. Es bringt den entscheidenden Mehrwert, wichtige Identitäten und Wallets physisch vom PC zu entkoppeln. Rüste deine Sicherheit jetzt auf Hardware-Ebene auf, bevor der nächste ClickFix-Befehl dein gesamtes digitales Vermögen absaugt.
Andere Cybersecurity Artikel:
- Metasploit Update-Report Q1/2026
- Die beispiellose Jagd nach der PTC-Lücke
- 81 Monate Haft für den Türöffner
- Notfall-Update KB5085516
- Google Chrome Zero-Day
- Mandiant AI Risk Report
- WordPress 6.9.3 Update
- SAP Security Patch Day
- 18 Millionen Dollar für Escape
- Auditing the Gatekeepers
- FBI Hackerangriff
- Signal und WhatsApp Hack
- Google Chrome Notfall-Update
- Cisco Security Advisory
- Cisco SD-WAN Zero-Day
