Si suena a una película de ciencia ficción, es porque el panorama del delito digital ya funciona con guionistas propios: un nuevo ladrón de información llamado Torg Grabber está demostrando que los atacantes no solo diversifican sus objetivos, sino que además perfeccionan sus técnicas a ritmo acelerado. Investigadores de la compañía de ciberseguridad Gen Digital han publicado un análisis que pinta un panorama inquietante: este malware apunta a cientos de extensiones de navegador, sobre todo a carteras de criptomonedas, y evoluciona semana a semana.
La puerta de entrada de Torg Grabber no es una vulnerabilidad nativa del navegador, sino una ingeniería social que explota la confianza del usuario: mediante la técnica conocida como ClickFix el malware manipula el portapapeles y engaña para que la víctima pegue y ejecute un comando de PowerShell. En otras palabras, el atacante se apoya en un comportamiento humano (pegar lo que aparece en pantalla) para conseguir ejecución remota sin tener que sortear directamente las defensas del sistema.
Una vez dentro, Torg Grabber aplica estrategias modernas de evasión: carga su carga útil en memoria, usa técnicas de ofuscación por capas, recurre a llamadas directas al sistema (syscalls) y emplea la carga reflectiva de DLLs para evitar ser detectado por los análisis tradicionales basados en archivos. Los investigadores señalan además que el proyecto está en plena actividad: en apenas tres meses (diciembre de 2025 a febrero de 2026) se identificaron 334 muestras únicas y se registran nuevos servidores de mando y control con periodicidad semanal.
El alcance de lo que puede arrancar del equipo comprometido es amplio. Gen Digital documenta que Torg Grabber intenta extraer credenciales, cookies y datos de autocompletado de 25 navegadores basados en Chromium y ocho variantes de Firefox. De las 850 extensiones que vigila, más de 700 son carteras de criptomonedas, una lista que incluye tanto los nombres más conocidos —MetaMask, Phantom, Trust Wallet, Coinbase, Binance o Exodus— como cientos de proyectos menos populares. También aparecen en su objetivo 103 extensiones relacionadas con gestores de contraseñas y autenticadores (desde LastPass y 1Password hasta Bitwarden y soluciones TOTP) y varias aplicaciones de notas y mensajería.
El modus operandi de exfiltración ha cambiado con el tiempo. Según el informe, las primeras versiones del malware enviaban información a través de Telegram o mediante un protocolo TCP cifrado propio. A mediados de diciembre de 2025 los responsables cambiaron de estrategia y pasaron a usar conexiones HTTPS canalizadas por la infraestructura de Cloudflare, un diseño que facilita subir datos en fragmentos y entregar payloads adicionales sin levantar tantas sospechas de red.
Un detalle técnico relevante es la aparición de una herramienta auxiliar llamada Underground, diseñada para extraer datos del navegador de manera directa. Esta utilidad inyecta una DLL reflectivamente en el proceso del navegador para acceder al servicio COM de elevación de Chrome y obtener la clave maestra de cifrado, una técnica que ya se ha visto en familias de robo de credenciales anteriores. Esa capacidad, unida a la facultad de tomar capturas, inventariar software instalado (incluyendo productos antivirus) y robar archivos de Escritorio y Documentos, convierte a Torg Grabber en una amenaza muy versátil.
Los investigadores también destacan que el malware puede recibir y ejecutar shellcode enviado desde el C2 cifrado con ChaCha y comprimido con zlib, lo que facilita la entrega dinámica de módulos sin dejar artefactos en disco. Además, el equipo de Gen Digital advierte sobre la rápida expansión del ecosistema de operadores: las primeras muestras mostraban hasta 40 etiquetas distintas, lo que sugiere que varios grupos o individuos están aprovechando y adaptando la plataforma.
Si toda esta descripción suena alarmante, hay medidas concretas que reducen el riesgo. En primer lugar, desconfíe de copiar y ejecutar comandos que aparezcan en páginas web, chats o ventanas emergentes; aprenda a inspeccionar el contenido del portapapeles antes de pegarlo y, cuando sea posible, evite ejecutar PowerShell desde fuentes no confiables. Mantener el navegador y las extensiones actualizadas, limitar el número de complementos instalados a los estrictamente necesarios y revisar los permisos que concedemos a cada extensión también ayuda a reducir la superficie de ataque.
Para quienes manejan activos digitales, la recomendación es no depender únicamente de extensiones para custodiar criptomonedas: usar carteras de hardware para fondos significativos añade una capa física de protección frente a este tipo de info-stealers. En entornos corporativos, las soluciones de detección y respuesta en endpoints que supervisan la ejecución en memoria, junto con filtros de contenido y políticas que bloqueen la ejecución de comandos sospechosos, son líneas de defensa importantes.
El caso de Torg Grabber sirve como recordatorio de que las amenazas modernas combinan ingeniería social con técnicas sofisticadas de evasión y persistencia. Si quiere leer el análisis técnico completo y actualizado, el informe de Gen Digital detalla muestras, indicadores y comportamientos observados: informe de Gen Digital sobre Torg Grabber. Para una perspectiva de prensa y contextualización adicional, puede consultarse la cobertura en medios especializados, que recogen el alcance y la evolución rápida de esta familia de malware: artículo en BleepingComputer.
La tecnología avanza y también lo hacen las tácticas de los atacantes. Mantenerse informado, aplicar buenas prácticas básicas y tratar las extensiones y los comandos del portapapeles con sospecha razonable son pequeñas rutinas que, juntas, reducen considerablemente el riesgo de convertirse en la próxima víctima.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...