AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Torg Grabber: Nuevo malware roba datos sensibles de 850 extensiones, con foco en wallets cripto**

admin

### 1. Introducción

En las últimas semanas, los equipos de ciberseguridad han alertado sobre la aparición de Torg Grabber, un avanzado malware de robo de información (infostealer) que ha irrumpido en el panorama de amenazas con una capacidad inédita para comprometer extensiones de navegador. Según los análisis más recientes, Torg Grabber es capaz de extraer datos confidenciales de más de 850 extensiones, de las cuales más de 700 están directamente relacionadas con monederos de criptomonedas. Este vector de ataque masivo, dirigido al corazón del ecosistema cripto y a la privacidad de usuarios avanzados, representa una amenaza emergente para empresas, profesionales y entornos corporativos que operan en el ámbito de los activos digitales.

### 2. Contexto del Incidente o Vulnerabilidad

El descubrimiento de Torg Grabber se produce en un momento de proliferación de malware especializado en el robo de credenciales y activos digitales, en un entorno donde la adopción de extensiones de navegador como vector de autenticación y gestión de activos es común tanto entre usuarios como en entornos empresariales. A diferencia de infostealers clásicos como RedLine o Racoon, Torg Grabber destaca por su orientación específica hacia extensiones de navegador, especialmente aquellas vinculadas a la gestión de criptomonedas, NFT y autenticadores de doble factor.

Según los primeros informes, la campaña asociada a Torg Grabber comenzó a detectarse en foros de la dark web a finales de mayo de 2024, con ofertas de la herramienta como malware-as-a-service (MaaS). Su popularidad y distribución se han incrementado rápidamente, con múltiples variantes y actualizaciones reportadas en foros de hacking y canales de Telegram relacionados con cibercrimen.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Torg Grabber no se apoya en una vulnerabilidad CVE específica, sino que explota el acceso a los directorios locales de las extensiones instaladas en los navegadores Chrome, Edge y Brave, entre otros. El malware se distribuye habitualmente mediante campañas de phishing, descargas de software crackeado y actualizaciones falsas de navegadores y plugins.

**Vectores de ataque principales:**
– Phishing dirigido (spear phishing) con archivos ejecutables adjuntos.
– Ingeniería social y sitios web comprometidos que descargan el payload.
– Distribución mediante loader malware como SmokeLoader o PrivateLoader.

**TTP según MITRE ATT&CK:**
– **Initial Access:** T1566 (Phishing), T1189 (Drive-by Compromise)
– **Execution:** T1059 (Command and Scripting Interpreter)
– **Credential Access:** T1555 (Credentials from Password Stores), T1558 (Steal or Forge Kerberos Tickets)
– **Collection:** T1114 (Email Collection), T1119 (Automated Collection)
– **Exfiltration:** T1041 (Exfiltration Over C2 Channel)

**Indicadores de Compromiso (IoC):**
– Hashes de archivos ejecutables identificados por EDRs de SentinelOne y CrowdStrike.
– C2s activos en dominios onion y direcciones IP asociadas a VPS en Europa del Este.
– Nombre de archivos como `Update.exe`, `WalletSync.exe` y rutas que apuntan a perfiles de usuario de Chrome (`AppDataLocalGoogleChromeUser DataDefaultExtensions`).

**Frameworks y herramientas:**
– Algunos módulos han sido adaptados para su uso en Metasploit.
– Se han detectado variantes que emplean técnicas de evasión similares a las de Cobalt Strike para evitar sandboxing y análisis dinámico.

### 4. Impacto y Riesgos

El principal impacto de Torg Grabber reside en la exfiltración masiva de frases semilla, claves privadas, credenciales y datos personales almacenados en extensiones de navegador. Más del 80% de las extensiones afectadas son wallets de criptomonedas populares como MetaMask, Trust Wallet, Phantom, Binance Chain Wallet, Coinbase Wallet y TronLink. El robo de estos datos permite a los actores de amenaza vaciar monederos y realizar fraudes en exchanges, con pérdidas económicas que en campañas similares han superado los 50 millones de dólares.

A nivel corporativo, las organizaciones que operan con criptoactivos o integran soluciones DeFi quedan especialmente expuestas a fugas de capital y a incidentes de cumplimiento normativo bajo GDPR y la directiva NIS2, dado el potencial de filtración de datos personales y financieros sensibles.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización y parcheo:** Mantener navegadores y extensiones siempre actualizados desde sus tiendas oficiales.
– **Revisión periódica de extensiones:** Auditar extensiones instaladas y eliminar aquellas no esenciales o de origen dudoso.
– **Segmentación de credenciales:** No almacenar frases semilla o claves privadas en navegadores. Emplear gestores de contraseñas externos y hardware wallets.
– **Despliegue de EDR y soluciones antimalware:** Configuración de alertas sobre accesos no autorizados a directorios de extensiones.
– **Formación de usuarios:** Capacitación continua en detección de phishing y amenazas asociadas a descargas no autorizadas.
– **Monitorización de IoC:** Integrar los indicadores identificados en SIEM y sistemas de threat intelligence.

### 6. Opinión de Expertos

Especialistas en análisis de malware, como los equipos de Kaspersky y Sophos, advierten que Torg Grabber representa una evolución significativa en la orientación y eficiencia de los infostealers, al centrarse en la capa de extensiones, tradicionalmente menos protegida. Destacan la sofisticación de sus mecanismos antianálisis y la rápida adaptación a nuevas extensiones, lo que dificulta el desarrollo de firmas estáticas por parte de los vendors de seguridad.

### 7. Implicaciones para Empresas y Usuarios

El auge de Torg Grabber obliga a las organizaciones a replantear sus políticas de uso de extensiones y manejo de activos digitales. Empresas del sector financiero, fintech, así como cualquier entidad que gestione criptomonedas o datos críticos a través de navegadores, deben endurecer el control de endpoints y establecer controles adicionales en la gestión de extensiones. El cumplimiento de GDPR y NIS2 exige, además, la notificación inmediata en caso de fuga de datos personales, con las consiguientes sanciones en caso de incumplimiento.

### 8. Conclusiones

Torg Grabber supone una amenaza crítica y en auge para la seguridad de activos digitales y la privacidad de los usuarios, con un enfoque innovador que explota uno de los eslabones más débiles en la cadena de protección: las extensiones de navegador. Su capacidad para comprometer más de 850 extensiones, la mayoría relacionadas con criptomonedas, lo convierte en un riesgo de primer orden para empresas y profesionales del sector. La vigilancia, la formación y la adopción de buenas prácticas en la gestión de extensiones y credenciales son, ahora más que nunca, imprescindibles.

(Fuente: www.bleepingcomputer.com)