Alerta: el malware que vacía 728 crypto wallets

Los investigadores de seguridad han identificado una nueva y agresiva amenaza denominada Torg Grabber, un malware que ya se encuentra en despliegue.

Este software malicioso está diseñado específicamente para comprometer 728 extensiones de crypto wallets dentro de un catálogo de más de 850 complementos de navegador, lo que representa un riesgo crítico para la custodia personal de activos digitales.

El funcionamiento de Torg Grabber se centra en la filtración de frases semilla, claves privadas y tokens de sesión a través de canales cifrados. Lo más preocupante es que este proceso suele completarse antes de que la mayoría de las herramientas de seguridad de los endpoints logren registrar un evento.

Según los informes de Gen Digital, se han recopilado 334 muestras durante un periodo de desarrollo de tres meses, confirmando que se trata de una operación activa de Malware-as-a-Service (MaaS) con operadores identificados.

Más allá de su arquitectura básica, esta operación se sustenta en un ecosistema de ciberdelincuencia de habla rusa que utiliza un sistema de panel y constructor para lanzar campañas independientes.

Al operar bajo un modelo MaaS, el malware permite a diversos atacantes personalizar binarios maliciosos, lo que significa que la escala del ataque podría multiplicarse rápidamente a medida que más actores compren acceso a la herramienta.

Gen Digital destaca que esta estructura profesionalizada hace que la amenaza sea mucho más persistente que un simple virus convencional.

¿Cómo Torg Grabber compromete las crypto wallets?

La cadena de infección comienza con un archivo ejecutable disfrazado de una actualización legítima de Chrome, llamado GAPI_Update.exe. Este paquete de 60 MB establece una presencia aparentemente limpia en el sistema antes de lanzar una barra de progreso falsa de “Actualización de seguridad de Windows” que dura exactamente 420 segundos.

Este retraso es una táctica deliberada para crear una ventana de tiempo creíble mientras el payload real se despliega en segundo plano.

Una vez instalado, Torg Grabber no solo busca crypto wallets; su alcance se extiende a 25 navegadores basados en Chromium, 8 variantes de Firefox, además de aplicaciones como Discord, Telegram, clientes VPN y administradores de contraseñas.

La exfiltración de datos utiliza cifrado ChaCha20 con autenticación HMAC-SHA256 a través de la infraestructura de Cloudflare, una arquitectura de nivel profesional que dificulta enormemente la intercepción del tráfico robado.

🚨 CRYPTO THEFT MALWARE: New “Torg Grabber” infostealer targets 728 cryptocurrency wallets.

The malware is designed to harvest wallet data and enable theft of digital assets.

Crypto wallets remain a primary target for financially motivated attackers.

— CyberAlertsHQ (@CyberAlertsHQ) March 25, 2026

Para maximizar su eficacia, el malware incorpora técnicas avanzadas conocidas como “ClickFix”, que incluyen el secuestro del portapapeles para ejecutar comandos de PowerShell y el uso de un componente de código especializado de 20KB diseñado para evadir la seguridad nativa de los navegadores.

Esta capacidad de ejecución en memoria permite que el infostealer acceda a archivos de almacenamiento local sensibles sin dejar rastros obvios en el disco duro. Esto implica que incluso los usuarios que siguen prácticas básicas de seguridad podrían ver sus fondos comprometidos si confían únicamente en las protecciones estándar de su navegador.

¿Quiénes están en riesgo ante esta amenaza?

El número de 728 billeteras no es una cifra al azar; representa un barrido exhaustivo de casi todas las carteras basadas en navegador con un volumen de instalación significativo.

Usuarios de las mejores wallets de criptomonedas como MetaMask, que cuenta con más de 30 millones de usuarios activos mensuales, y Phantom son los objetivos principales. El riesgo es total para quienes almacenan sus frases semilla en el almacenamiento del navegador, archivos de texto o gestores de contraseñas locales.

Aunque los activos en los mejores exchanges de criptomonedas no están expuestos directamente a este vector de ataque, el robo de tokens de sesión puede permitir a los atacantes acceder a cuentas de intercambio si las sesiones de inicio están activas en el navegador infectado.

Los usuarios de cold wallets enfrentan un riesgo menor, limitado únicamente a situaciones donde sus frases semilla hayan sido digitalizadas y guardadas en el equipo comprometido.

La infraestructura de Torg Grabber, que incluye una API REST descrita por los investigadores como un “reloj suizo sumergido en veneno”, sugiere que la lista de carteras objetivo seguirá creciendo.

Esta evolución refleja la tendencia de infostealers previos como Vidar o RedLine, pero con una ejecución técnica mucho más refinada y estructurada.

Últimas noticias de mercado:

1. Coinbase rechaza la Ley de Claridad por beneficiar a los Bancos
2. Ethereum anuncia su estrategia contra la computación cuántica
3. ¿Veremos una ruptura real en el precio de SOL o es una trampa de liquidez?