Los activos digitales y las carteras de criptomonedas han vuelto a estar bajo amenaza, ya que un nuevo software malicioso identificado como Torg Grabber apunta activamente a las extensiones de navegadores vinculadas a las carteras de criptodivisas. El malware, que actualmente está operativo en la red, es capaz de escanear 728 extensiones de carteras de criptomonedas basadas en navegadores entre más de 850 complementos, poniendo en riesgo inmediato la seguridad de innumerables carteras digitales.
Cómo Torg Grabber infiltra los dispositivos
Torg Grabber emplea una secuencia de infección en varias etapas, inicialmente propagándose a través de un paquete de instalación identificado por el alias GAPI_Update.exe, un archivo basado en InnoSetup de 60 MB. Aprovechando la infraestructura de Dropbox, el malware llega a las computadoras de las víctimas y, una vez lanzado, extrae sigilosamente tres archivos DLL de apariencia inocente en el directorio local. Simultáneamente, activa una pantalla de actualización de seguridad de Windows de señuelo que dura 420 segundos, durante los cuales el malware se carga en segundo plano, haciendo creer al usuario que se está llevando a cabo un proceso de instalación legítimo.
Una vez completada la instalación, se colocan archivos ejecutables con nombres aleatorios en el directorio de Windows. Muestras analizadas de la amenaza han intentado interferir con los sistemas de registro de eventos de Windows, una maniobra evasiva diseñada para ocultar sus rastros y enmascarar su presencia. Afortunadamente, las soluciones de análisis de comportamiento han logrado frustrar estos intentos, limitando una mayor compromisión.
El alcance de Torg Grabber se extiende más allá de solo los navegadores. El malware apunta a 25 navegadores basados en Chromium, ocho variantes de Firefox, así como a aplicaciones ampliamente utilizadas como Discord, Steam y Telegram. Las bóvedas de contraseñas, clientes VPN, herramientas FTP y clientes de correo electrónico están dentro de su alcance. La información recopilada se comprime sobre la marcha o se exfiltra en pequeños fragmentos. Las operaciones de robo de datos se enrutan a través de Cloudflare utilizando un cifrado robusto ChaCha20 y autenticación HMAC-SHA256, un signo de su sofisticada infraestructura. En lugar de ser una herramienta de hacking rudimentaria, Torg Grabber es visto como una operación criminal bien estructurada basada en servicios.
Los investigadores han enfatizado que Torg Grabber apunta a 728 carteras de criptomonedas, lo que permite el robo de datos sensibles de usuarios y promueve ataques con motivaciones financieras.
¿Quién enfrenta el mayor riesgo?
El grupo de mayor riesgo incluye a los usuarios que gestionan sus activos criptográficos a través de carteras calientes basadas en navegadores como MetaMask y Phantom. Aquellos que retienen claves privadas o de cifrado en sus máquinas pueden perder todo su saldo en una sola brecha. Incluso los usuarios de carteras de hardware físico pueden estar expuestos si almacenan sus frases de recuperación en cualquier formato digital en el dispositivo infectado.
El análisis exhaustivo de la firma de ciberseguridad Gen Digital sobre Torg Grabber recopiló 334 variantes distintivas en un lapso de tres meses, concluyendo que la campaña es un ejemplo activo de Malware como servicio en lugar de un simple experimento. La investigación reveló casi 40 etiquetas de operadores, códigos de versión cronológica y handles de Telegram incrustados en binarios de malware. La evidencia también apunta a operaciones que involucran a ocho actores criminales separados, muchos de los cuales tienen vínculos establecidos con el ecosistema de ciberdelitos ruso.
En su núcleo, el ataque apunta a comprometer los archivos de carteras que han sido descargados o respaldados localmente, así como los tokens de sesión que pueden permitir el acceso no autorizado. Si la computadora de la víctima está registrada en intercambios de criptomonedas, los atacantes pueden potencialmente explotar sesiones abiertas para acceder a los fondos directamente.
Si bien Torg Grabber emplea varias técnicas establecidas vistas en campañas de malware anteriores como Vidar y RedLine, los atacantes ahora se benefician de una infraestructura más avanzada y una lista de extensiones de cartera en continua expansión. La capacidad de escanear simultáneamente 728 carteras únicas establece un nuevo estándar para los ataques dirigidos, uno que solo se espera que crezca a medida que el malware evoluciona.
