Dentro il Web Ombra: come il malware in franchising di Torg Grabber sta aggirando i difensori
Sottotitolo: Un nuovo stealer in rapida evoluzione usa API cifrate e “franchising” criminali per sottrarre segreti del browser a vittime in tutto il mondo.
Tutto inizia con un clic-magari un cheat allettante per un gioco o un’app craccata. Nel giro di pochi secondi, codice invisibile sta disfacendo la tua vita digitale, e i criminali dietro Torg Grabber sono già un passo avanti. Nella corsa agli armamenti in continua accelerazione tra cybercriminali e difensori, questo nuovo malware stealer non si limita a tenere il passo: detta il ritmo.
Innovazione criminale in modalità accelerata
I ricercatori di sicurezza hanno recentemente smascherato Torg Grabber, una nuova razza di stealer di informazioni che sta riscrivendo l’economia del cybercrimine. Ciò che distingue Torg Grabber non è solo la sua abilità tecnica-ma la velocità e la sofisticazione della sua evoluzione. In appena tre mesi, sono stati distribuiti oltre 330 campioni unici, ciascuno più avanzato del precedente, mentre gli autori del malware affinano i loro strumenti in tempo reale.
All’inizio, Torg Grabber si affidava a tattiche grossolane: credenziali rubate compresse in un file zip e inviate tramite bot di Telegram-ovvie, rumorose e facili da individuare. Ma gli sviluppatori hanno cambiato rotta rapidamente, sperimentando protocolli TCP personalizzati cifrati con ChaCha20, prima di approdare a una REST API di livello produttivo su HTTPS. Questa fase finale, instradata attraverso Cloudflare, consente a Torg Grabber di confondersi con il traffico legittimo ed evitare il rilevamento basato sulla rete.
Il modello “franchising” del malware
Forse l’aspetto più inquietante è l’approccio “in franchising” di Torg Grabber. Ogni copia del malware è contrassegnata per uno specifico operatore criminale-spesso collegato ad account Telegram russi-tramite variabili d’ambiente impostate durante l’infezione. Ciò significa che una singola build del malware può servire decine di clienti, ciascuno con la propria dashboard di dati rubati, il tutto gestito attraverso un backend fluido e integrato.
La furtività sopra ogni cosa
Le vittime raramente vedono arrivare l’attacco. Le catene di infezione sono fileless, usando esche ingannevoli e payload solo in memoria per aggirare quasi tutte le difese dei tradizionali antivirus. Un reflective loader decomprime il core stealer direttamente nella memoria di sistema, senza lasciare tracce su disco.
Il trucco più pericoloso di Torg Grabber? Sconfiggere l’App-Bound Encryption (ABE) di Google Chrome, una funzione di sicurezza pensata per vincolare i dati del browser al browser stesso. Iniettando una minuscola DLL personalizzata e manipolando gli interni di Windows, il malware estrae la chiave master AES-256 di Chrome-sbloccando non solo le password, ma anche i cookie e i dati sensibili di centinaia di estensioni del browser.
Conclusione: il nuovo volto del cybercrimine
Torg Grabber è più di un semplice stealer-è uno sguardo sul futuro del cybercrimine industrializzato. Con un’infrastruttura pronta per il franchising, cicli di sviluppo rapidi ed evasione avanzata, sta costringendo i difensori a ripensare cosa significhi “stato dell’arte” nel malware. Per ora, vigilanza e difese stratificate sono gli unici scudi contro questa nuova razza di predatore digitale.
WIKICROOK
- Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
- REST API: Una REST API è un insieme di regole che permette a diversi sistemi software di comunicare su internet, agendo come un traduttore tra siti web e app.
- ChaCha20: ChaCha20 è un algoritmo di cifratura veloce e sicuro che rimescola i dati per proteggerli da accessi non autorizzati, ampiamente usato nella cybersecurity moderna.
- Reflective Loader: Un reflective loader carica ed esegue codice in memoria senza accesso al disco, spesso usato per eludere il rilevamento da parte degli strumenti di sicurezza.
- App: Un’app è un programma software che svolge compiti specifici sui dispositivi digitali. Funzionalità di sicurezza come la bound encryption aiutano a proteggere i dati delle app da accessi non autorizzati.




