Le malware Torg Grabber cible 728 extensions de portefeuille crypto dans une opération active de malware en tant que service.

Les chercheurs en cybersécurité de Gen Digital ont identifié un nouveau logiciel malveillant infostealer, Torg Grabber, qui cible 728 extensions de portefeuille de cryptomonnaie à travers 850 modules complémentaires de navigateur, fonctionnant comme une opération de Malware-as-a-Service (MaaS) en direct avec 334 échantillons uniques compilés entre décembre 2025 et février 2026.

Le logiciel malveillant exfiltre des phrases de récupération, des clés privées et des jetons de session via des canaux chiffrés avant que la plupart des outils de point de terminaison ne détectent la menace, utilisant un dropper déguisé en mise à jour légitime de Chrome (GAPI_Update.exe) qui déploie une fausse barre de progression de mise à jour de sécurité Windows. La menace cible 25 navigateurs Chromium et 8 variantes de Firefox, avec une exfiltration de données routée à travers l’infrastructure Cloudflare utilisant le chiffrement ChaCha20 et l’authentification HMAC-SHA256.

Le logiciel malveillant est activement développé, avec de nouveaux serveurs de commande et de contrôle (C2) enregistrés chaque semaine et au moins 40 tags d’opérateurs liés à l’écosystème de cybercriminalité russe.

Mécanisme d’attaque et livraison

Chaîne d’infection initiale

Le dropper est déguisé en GAPI_Update.exe, un package InnoSetup de 60 Mo distribué à partir de l’infrastructure Dropbox. Il extrait trois DLL bénignes dans %LOCALAPPDATA%\Connector\ pour établir une empreinte propre, puis lance une fausse barre de progression de mise à jour de sécurité Windows fonctionnant exactement 420 secondes pendant que le payload se déploie. L’exécutable final se dépose sous des noms aléatoires dans C:\Windows\ à travers des échantillons documentés. Un exemple capturé de 13 Mo a généré dllhost.exe et a tenté de désactiver le suivi des événements pour Windows avant que la détection comportementale ne l’arrête en cours d’exécution.

Infrastructure d’exfiltration

Les données sont archivées dans un fichier ZIP en mémoire ou diffusées par morceaux, puis routées à travers des points de terminaison Cloudflare utilisant des en-têtes HMAC-SHA256 X-Auth-Token par requête et le chiffrement ChaCha20. L’infrastructure a évolué à partir de constructions initiales qui utilisaient des protocoles TCP chiffrés personnalisés basés sur Telegram vers une connexion HTTPS routée à travers Cloudflare, prenant en charge les téléchargements de données par morceaux et la livraison de payloads.

Portée des cibles

Couverture des navigateurs et des portefeuilles

Torg Grabber cible 25 navigateurs Chromium et 8 variantes de Firefox, tentant de voler des identifiants, des cookies et des données de remplissage automatique. Parmi les 850 extensions de navigateur qu’il cible, 728 sont pour des portefeuilles de cryptomonnaie, couvrant « essentiellement tous les portefeuilles crypto jamais conçus par l’optimisme humain. » Les chercheurs ont noté : « Les noms prestigieux sont tous là — MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare — mais la liste ne s’arrête pas aux gros noms. »

Cibles supplémentaires

Au-delà des portefeuilles crypto, le logiciel malveillant cible 103 extensions pour mots de passe, jetons et authentificateurs, y compris LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, et 2FAAuth, GAuth, TOTP Authenticator. Il cible également des informations provenant de Discord, Telegram, Steam, des applications VPN, des applications FTP, des clients de messagerie, des gestionnaires de mots de passe et des applications de portefeuilles de cryptomonnaie de bureau. Le logiciel malveillant peut profiler l’hôte, créer une empreinte matérielle, documenter les logiciels installés (y compris 24 outils antivirus), prendre des captures d’écran et voler des fichiers des dossiers Bureau et Documents.

Capacités techniques et évolution

Anti-analyse et évasion

Le logiciel malveillant dispose de multiples mécanismes anti-analyse, d’une obfuscation multi-couches, et utilise des appels système directs et un chargement réflexif pour l’évasion, exécutant le payload final entièrement en mémoire. Le 22 décembre 2025, Torg Grabber a ajouté un contournement de chiffrement lié à l’application (ABE) pour vaincre le système de protection des cookies de Chrome (et de Brave, Edge, Vivaldi et Opera).

Structure de Malware-as-a-Service

L’analyse de Gen Digital a identifié plus de 40 tags d’opérateurs intégrés dans des binaires : des pseudonymes, des identifiants de lot encodés par date, et des ID d’utilisateur Telegram liant les opérateurs à l’écosystème de cybercriminalité russe. Le modèle MaaS permet aux opérateurs individuels de déployer du shellcode personnalisé après l’enregistrement, élargissant la surface d’attaque au-delà de la configuration de base. Comme l’ont décrit les chercheurs de Gen Digital, Torg Grabber a évolué d’un dépôt mort Telegram vers « une API REST de qualité production qui fonctionnait comme une montre suisse trempée dans du poison. »

Évaluation des risques

Utilisateurs en auto-garde

Les utilisateurs en auto-garde stockant des phrases de récupération dans le stockage du navigateur, des fichiers texte ou des gestionnaires de mots de passe font face à un compromis complet de leur portefeuille sur une seule infection. La logique de ciblage des extensions signifie que Torg Grabber récolte tous les identifiants de portefeuille présents sur n’importe quelle machine infectée, peu importe si l’utilisateur est la cible prévue.

Utilisateurs de portefeuilles d’échange et matériels

Les actifs détenus par des échanges ne sont pas directement exposés à ce vecteur d’attaque, car le logiciel malveillant cible les magasins d’identifiants locaux, pas les API d’échange à grande échelle. Cependant, le vol de jetons de session depuis le stockage du navigateur peut exposer des comptes d’échange connectés si des sessions de connexion sont actives. Les utilisateurs de portefeuilles matériels font face à un risque indirect uniquement si les phrases de récupération sont stockées numériquement.

Questions fréquentes

Comment Torg Grabber infecte-t-il les appareils ?

Le logiciel malveillant est livré par le biais d’un dropper déguisé en mise à jour légitime de Chrome (GAPI_Update.exe) distribué à partir de l’infrastructure Dropbox. Il déploie une fausse barre de progression de mise à jour de sécurité Windows fonctionnant pendant 420 secondes pendant que le payload s’installe, utilisant l’ingénierie sociale pour maintenir la confiance de l’utilisateur pendant l’infection.

Quels portefeuilles de cryptomonnaie sont les plus à risque ?

Le logiciel malveillant cible 728 extensions de portefeuille à travers 25 navigateurs Chromium et 8 navigateurs Firefox, y compris MetaMask, Phantom, TrustWallet, Coinbase Wallet, Binance Wallet, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, et Solflare. Tout utilisateur utilisant des extensions de portefeuilles basées sur le navigateur est à risque direct.

Comment les utilisateurs peuvent-ils se protéger contre Torg Grabber ?

Les utilisateurs devraient éviter de télécharger des logiciels provenant de sources non fiables, se méfier des faux prompts de mise à jour, et envisager d’utiliser des portefeuilles matériels pour des avoirs crypto significatifs avec des phrases de récupération stockées hors ligne. Les organisations devraient bloquer les domaines malveillants connus et surveiller les indicateurs de compromission documentés par Gen Digital.