Un nouveau malware d’info-vol, Torg Grabber, est en train de dérober des données sensibles provenant de 850 extensions de navigateur, dont plus de 700 sont liées aux portefeuilles de cryptomonnaies.
L’accès initial se fait par la technique ClickFix, qui prend le contrôle du presse-papiers et incite l’utilisateur à exécuter une commande PowerShell malveillante.
Des chercheurs de l’entreprise de cybersécurité Gen Digital rapportent que Torg Grabber est en cours de développement actif, avec 334 échantillons uniques compilés sur une période de trois mois, entre décembre 2025 et février 2026. De nouveaux serveurs de commande et de contrôle (C2) sont enregistrés chaque semaine.
En plus de cibler les portefeuilles de cryptomonnaies, Torg Grabber subtilise des données provenant de 103 gestionnaires de mots de passe et d’outils d’authentification à deux facteurs, ainsi que de 19 applications de prise de notes.
Évolution rapide
Dans un récent rapport technique, les chercheurs de Gen Digital notent que les premières versions de Torg Grabber utilisaient un protocole basé sur Telegram, puis un protocole TCP chiffré pour l’exfiltration de données. Cela a été remplacé le 18 décembre 2025 par une connexion HTTPS via l’infrastructure de Cloudflare, permettant le téléchargement de données en morceaux et la livraison de charges utiles.
Source: Gen Digital
Le malware intègre diverses méthodes d’anti-analyse et une obfuscation multicouche, utilisant des appels système directs et un chargement réflexif pour éviter la détection, tout en exécutant la charge utile finale directement en mémoire.
Au 22 décembre 2025, Torg Grabber a ajouté un contournement de l’App-Bound Encryption (ABE) pour surpasser le système de protection des cookies de Chrome (et de navigateurs comme Brave, Edge, Vivaldi, et Opera), une méthode déjà observée chez d’autres voleurs d’informations.
Les chercheurs ont également découvert un outil autonome, Underground, qui extrait les données des navigateurs. Cet outil injecte une DLL de manière réflexive dans le navigateur pour accéder au service d’élévation COM de Chrome et en extraire la clé de chiffrement maîtresse, un procédé également constaté récemment avec VoidStealer.
Capacités étendues de vol de données
Les investigations de Gen Digital révèlent que Torg Grabber cible 25 navigateurs basés sur Chromium et 8 variantes de Firefox, tentant de dérober les identifiants, cookies et données d’auto-complétion.
Parmi les 850 extensions ciblées, 728 sont des portefeuilles de cryptomonnaies, englobant « essentiellement tous les portefeuilles de cryptomonnaies imaginables. » Les chercheurs mentionnent des noms tels que MetaMask, Phantom, TrustWallet, Coinbase, et Binance, mais n’hésitent pas à signaler que la liste est bien plus longue, incluant des projets moins connus.
Outre les portefeuilles, le malware vise également 103 extensions liées aux mots de passe, jetons et authentificateurs, parmi lesquelles se trouvent LastPass, 1Password, Bitwarden, et NordPass.
Les données provenant de plateformes comme Discord, Telegram, Steam, ainsi que des applications VPN et des clients de messagerie, sont également ciblées. Torg Grabber peut également établir un profil de l’hôte, créer une empreinte matérielle, documenter les logiciels installés, y compris 24 outils antivirus, réaliser des captures d’écran du bureau de l’utilisateur et dérober des fichiers des dossiers Bureau et Documents.
Notons également sa capacité à exécuter du code shell sur l’appareil compromis, sous une forme zlib compressée et chiffrée en ChaCha, envoyée depuis le serveur C2.
Gen Digital avertit que Torg Grabber continue d’évoluer rapidement, enregistrant de nouveaux domaines C2 chaque semaine, tandis que la base d’opérateurs s’élargit avec 40 tags documentés lors de l’analyse.