El malware de Torg Grabber ataca 728 extensiones de monederos de criptomonedas en una operación activa de Malware-as-a-Service

Investigadores de ciberseguridad en Gen Digital han identificado un nuevo malware infostealer, Torg Grabber, que apunta a 728 extensiones de billetera de criptomonedas a través de 850 complementos de navegador, operando como una operación en vivo de Malware-as-a-Service (MaaS) con 334 muestras únicas compiladas entre diciembre de 2025 y febrero de 2026.

El malware exfiltra frases semilla, claves privadas y tokens de sesión a través de canales encriptados antes de que la mayoría de las herramientas de punto final registren detección, utilizando un dropper disfrazado como una actualización legítima de Chrome (GAPI_Update.exe) que despliega una barra de progreso falsa de actualización de seguridad de Windows. La amenaza apunta a 25 navegadores Chromium y 8 variantes de Firefox, con la exfiltración de datos enrutada a través de la infraestructura de Cloudflare utilizando cifrado ChaCha20 y autenticación HMAC-SHA256.

El malware está en desarrollo activo, con nuevos servidores de comando y control (C2) registrados semanalmente y al menos 40 etiquetas de operador vinculadas al ecosistema de cibercrimen ruso.

Mecanismo de Ataque y Entrega

Cadena de Infección Inicial

El dropper se disfraza como GAPI_Update.exe, un paquete de InnoSetup de 60 MB distribuido desde la infraestructura de Dropbox. Extrae tres DLLs benignas en %LOCALAPPDATA%\Connector\ para establecer una huella limpia, luego lanza una barra de progreso falsa de actualización de seguridad de Windows que dura exactamente 420 segundos mientras se despliega la carga útil. El ejecutable final se deja con nombres aleatorios en C:\Windows\ en muestras documentadas. Una instancia capturada de 13 MB generó dllhost.exe e intentó desactivar el Seguimiento de Eventos para Windows antes de que la detección de comportamiento lo terminara a mitad de ejecución.

Infraestructura de Exfiltración

Los datos se archivan en un ZIP en memoria o se transmiten en fragmentos, luego se enrutaron a través de los puntos finales de Cloudflare utilizando encabezados HMAC-SHA256 X-Auth-Token por solicitud y cifrado ChaCha20. La infraestructura evolucionó a partir de construcciones iniciales que utilizaban protocolos TCP personalizados encriptados y basados en Telegram a una conexión HTTPS enrutada a través de Cloudflare, que soporta cargas de datos en fragmentos y entrega de carga útil.

Alcance de los Objetivos

Cobertura de Navegadores y Billeteras

Torg Grabber apunta a 25 navegadores Chromium y 8 variantes de Firefox, intentando robar credenciales, cookies y datos de autocompletar. De las 850 extensiones de navegador a las que apunta, 728 son para billeteras de criptomonedas, cubriendo “prácticamente todas las billeteras de cripto que jamás hayan sido concebidas por el optimismo humano.” Los investigadores señalaron: “Los nombres más destacados están todos ahí—MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare—pero la lista no se detiene en los nombres grandes.”

Objetivos Adicionales

Más allá de las billeteras de cripto, el malware apunta a 103 extensiones para contraseñas, tokens y autenticadores, incluyendo LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass y 2FAAuth, GAuth, TOTP Authenticator. También apunta a información de Discord, Telegram, Steam, aplicaciones de VPN, aplicaciones FTP, clientes de correo electrónico, administradores de contraseñas y aplicaciones de billeteras de criptomonedas de escritorio. El malware puede perfilar el host, crear una huella de hardware, documentar software instalado (incluyendo 24 herramientas antivirus), tomar capturas de pantalla y robar archivos de las carpetas de Escritorio y Documentos.

Capacidades Técnicas y Evolución

Anti-Análisis y Evasión

El malware presenta múltiples mecanismos anti-análisis, ofuscación en múltiples capas, y utiliza llamadas al sistema directas y carga reflexiva para la evasión, ejecutando la carga útil final completamente en memoria. El 22 de diciembre de 2025, Torg Grabber agregó una omisión de Cifrado Vinculado a la Aplicación (ABE) para derrotar el sistema de protección de cookies de Chrome (y Brave, Edge, Vivaldi y Opera).

Estructura de Malware-as-a-Service

El análisis de Gen Digital identificó más de 40 etiquetas de operador incrustadas en binarios: apodos, IDs de lote codificados por fecha, y IDs de usuario de Telegram que vinculan a los operadores con el ecosistema de cibercrimen ruso. El modelo MaaS permite a los operadores individuales desplegar shellcodes personalizados después del registro, ampliando la superficie de ataque más allá de la configuración base. Como lo describieron los investigadores de Gen Digital, Torg Grabber evolucionó de “caídas muertas” de Telegram a “una API REST de grado de producción que funcionaba como un reloj suizo sumergido en veneno.”

Evaluación de Riesgos

Usuarios de Autocustodia

Los usuarios de autocustodia que almacenan frases semilla en el almacenamiento del navegador, archivos de texto o administradores de contraseñas enfrentan un compromiso total de la billetera con una sola infección. La lógica de objetivo de la extensión significa que Torg Grabber recoge las credenciales de billetera que estén presentes en cualquier máquina infectada, independientemente de si el usuario es el objetivo previsto.

Usuarios de Billeteras de Intercambio y Hardware

Los activos mantenidos en intercambios no están directamente expuestos a este vector de ataque, ya que el malware apunta a almacenes de credenciales locales, no a APIs de intercambio a gran escala. Sin embargo, el robo de tokens de sesión del almacenamiento del navegador puede exponer cuentas de intercambio conectadas si las sesiones de inicio están activas. Los usuarios de billeteras de hardware enfrentan un riesgo indirecto solo si las frases semilla se almacenan digitalmente.

Preguntas Frecuentes

¿Cómo infecta Torg Grabber los dispositivos?

El malware se entrega a través de un dropper disfrazado como una actualización legítima de Chrome (GAPI_Update.exe) distribuido desde la infraestructura de Dropbox. Despliega una barra de progreso falsa de actualización de seguridad de Windows que dura 420 segundos mientras se instala la carga útil, utilizando ingeniería social para mantener la confianza del usuario durante la infección.

¿Qué billeteras de criptomonedas están más en riesgo?

El malware apunta a 728 extensiones de billetera a través de 25 navegadores Chromium y 8 de Firefox, incluyendo MetaMask, Phantom, TrustWallet, Coinbase Wallet, Binance Wallet, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui y Solflare. Cualquier usuario que ejecute extensiones de billetera basadas en navegador está en riesgo directo.

¿Cómo pueden protegerse los usuarios de Torg Grabber?

Los usuarios deben evitar descargar software de fuentes no confiables, ser sospechosos de indicaciones de actualizaciones falsas, y considerar el uso de billeteras de hardware para importantes tenencias de criptomonedas con frases semilla almacenadas fuera de línea. Las organizaciones deben bloquear dominios maliciosos conocidos y monitorear los indicadores de compromiso documentados por Gen Digital.