Nuevo malware 'Torg Grabber' apunta a 728 carteras de criptomonedas

Torg Grabber, un malware infostealer recientemente identificado,
apunta a 728 extensiones de billetera de criptomonedas en 850 complementos de navegador,
y ya está en despliegue activo.

El malware exfiltra frases semilla, claves privadas y tokens de sesión
a través de canales encriptados antes de que la mayoría de las herramientas de endpoint
registren un evento de detección. Los usuarios de autocustodia que utilizan billeteras basadas en navegador
son la principal superficie de exposición.

Los investigadores de Gen Digital documentaron la amenaza
después de rastrear una cadena de cargadores a través de datos de reputación de dominio,
compilando en última instancia 334 muestras a lo largo de un período de desarrollo de tres meses.
Esto no es una prueba de concepto. Es una operación activa de Malware-as-a-Service
con operadores identificados.

Conclusiones clave:

• Alcance de la amenaza: Torg Grabber escanea 850 extensiones de navegador,
  728 de ellas son objetivos de billetera de criptomonedas,
  a través de 25 variantes de navegador Chromium y 8 de Firefox.
• Método de ataque: El dropper se disfraza como una actualización legítima de Chrome
  (GAPI_Update.exe, 60 MB), despliega la carga útil a través de una falsa barra de progreso
  de actualización de seguridad de Windows de 420 segundos, luego exfiltra datos
  usando encriptación ChaCha20 con autenticación HMAC-SHA256
  a través de la infraestructura de Cloudflare.
• ¿Quién está en riesgo?: Los usuarios de billeteras de extensiones de navegador —
  MetaMask, Phantom y billeteras calientes comparables —
  enfrentan robo directo de credenciales; los usuarios de billeteras de hardware
  enfrentan riesgo indirecto solo si las frases semilla se almacenan digitalmente.

Descubre: Las mejores preventas de criptomonedas que están ganando impulso institucional en este momento

El mecanismo: Cómo el malware Torg Grabber ejecuta el ataque en billeteras de criptomonedas

La cadena de infección comienza con un dropper disfrazado como GAPI_Update.exe —
un paquete de InnoSetup de 60 MB distribuido desde la infraestructura de Dropbox.
Extrae tres DLL benignas en %LOCALAPPDATA%\Connector\ para establecer una huella limpia, luego lanza una falsa barra de progreso
de actualización de seguridad de Windows que dura exactamente 420 segundos,
completa con arte ASCII animado compilado a través de csc.exe.
El retraso es deliberado: crea una ventana de instalación plausible
mientras se despliega la carga útil.

El ejecutable final se deja caer bajo nombres aleatorios —
v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe —
en C:\Windows\ a través de muestras documentadas.
Una instancia capturada de 13 MB generó dllhost.exe
e intentó deshabilitar la trazabilidad de eventos de Windows
antes de que la detección conductual lo terminara a mitad de ejecución.

Después del despliegue, Torg Grabber apunta a 25 navegadores Chromium,
8 variantes de Firefox, Discord, Steam, Telegram, clientes VPN,
clientes FTP, clientes de correo electrónico y administradores de contraseñas
además de billeteras de criptomonedas. Los datos se archivan
en un ZIP en memoria o se transmiten en fragmentos.
Las rutas de exfiltración pasan por puntos de Cloudflare
usando encabezados HMAC-SHA256 X-Auth-Token por solicitud
y encriptación ChaCha20 — una arquitectura de grado de producción,
no herramientas improvisadas.

El análisis de Gen Digital identificó más de 40 etiquetas de operadores
incorporadas en binarios: apodos, IDs de lotes codificados por fecha
y IDs de usuarios de Telegram que vinculan a ocho operadores
con el ecosistema de cibercrimen ruso. El modelo MaaS significa
que los operadores individuales pueden desplegar shellcode personalizado
después de registrarse, expandiendo la superficie de ataque
más allá de la configuración base. Como lo describieron los investigadores de Gen Digital,
Torg Grabber evolucionó de “drops” en Telegram a “una API REST de grado de producción
que funcionaba como un reloj suizo sumergido en veneno.”

Descubre: La mejor criptomoneda para diversificar tu portafolio

La señal de autocustodia: Lo que realmente significa 728 billeteras

728 no es un número arbitrario. Representa un barrido de configuración
deliberado, cada billetera importante basada en navegador
con volumen de instalación medible. Solo MetaMask
tiene más de 30 millones de usuarios activos mensuales.
La lógica de apuntar a extensiones significa que Torg Grabber
no necesita encontrar una víctima específica; cosecha
cualquier credencial de billetera presente en cualquier máquina infectada.

El riesgo más amplio se bifurca claramente.
Los usuarios de autocustodia que almacenan frases semilla en almacenamiento de navegador,
archivos de texto o administradores de contraseñas
enfrentan un compromiso completo de billetera
con una sola infección. Los activos mantenidos en intercambios
no están expuestos directamente a este vector de ataque específico,
el malware apunta a almacenes de credenciales locales,
no a APIs de intercambio a gran escala.
Pero el robo de tokens de sesión del almacenamiento de navegador
puede exponer cuentas de intercambio conectadas si las sesiones de inicio de sesión están activas.

Si la base de operadores de MaaS de Torg Grabber se expande,
y el monitoreo de Gen Digital de su infraestructura de API REST sugiere
iteración activa, la lista de objetivos de billetera crecerá.
La cifra de 728 es una instantánea actual, no un límite.
Infostealers comparables como Vidar y RedLine
normalizaron este modelo hace años; Torg Grabber
está ejecutando el mismo libro de jugadas
con una infraestructura más estructurada.

Descubre: Las mejores preventas de criptomonedas que están ganando impulso institucional en este momento

Síguenos en Google News

Noticias en tendencia
Temas populares de criptomonedas
Predicciones de precios

• El pivote del blockchain de SWIFT pone a XRP nuevamente en el foco de las transacciones transfronterizas
• Predicción del precio de Bitcoin: BTC un activo refugio, dice analista de Bloomberg
• Predicción del precio de Bitcoin: Conflictos en Medio Oriente y análisis del gráfico de BTC USD
• Predicción del precio de XRP: ¿Ripple funcionará una vez que se apruebe la Ley de Claridad?
• Ripple XRP entra en el Sandbox de MAS BLOOM para pilotar el financiamiento comercial RLUSD

Análisis de precios

Predicción del precio de XRP: ¿Es plausible $10?

2026-03-25 20:00:00,
por David Pokima

Análisis de precios

La IA Grok de Elon predice el precio de XRP, Bitcoin y Ethereum para finales de 2026

2026-03-19 19:58:01,
por Ahmed Balaha

Análisis de precios

Predicción del precio de Ethereum: Suministro de intercambio más bajo desde 2016

2026-03-26 08:25:35,
por David Pokima

Las mejores criptomonedas para comprar ahora en marzo de 2026 –
Las principales criptomonedas en las que invertir

2026-02-24 10:31:20,
por Alan Draper

Nuevas criptomonedas para invertir hoy –
Las principales nuevas monedas de criptomonedas

2026-03-13 12:06:16,
por Ines S. Tavares

9 mejores preventas de criptomonedas en marzo de 2026

2026-03-23 11:22:28,
por Alan Draper

7 nuevas y próximas listas de Coinbase en marzo de 2026

2026-02-24 11:25:06,
por Ilija Rankovic

10 nuevas y próximas listas de Binance en 2026

2026-02-24 11:07:23,
por Ilija Rankovic

12 criptomonedas listas para explotar en 2026 –
Nuestras mejores selecciones

2026-03-24 10:41:46,
por Ilija Rankovic

Predicción del precio de Bitcoin (BTC) 2026, 2027 – 2030

2026-03-27 07:30:00,
por Leon Waters

Predicción del precio de XRP (XRP) 2026, 2027 – 2030

2026-03-27 07:30:00,
por Ihssan El Medkouri

Predicción del precio de Ethereum 2026, 2027 – 2030

2026-03-27 07:30:00,
por Alan Draper