Nouveau malware 'Torg Grabber' ciblant 728 portefeuilles crypto

Torg Grabber, un malware infostealer nouvellement identifié, cible 728 extensions de portefeuille crypto à travers 850 modules complémentaires de navigateur, et il est déjà en déploiement actif.

Le malware exfiltre des phrases de récupération, des clés privées et des jetons de session via des canaux cryptés avant que la plupart des outils de point de terminaison n’enregistrent un événement de détection. Les utilisateurs en auto-garde exécutant des portefeuilles basés sur le navigateur sont la principale surface d’exposition.

Les chercheurs de Gen Digital ont documenté la menace après avoir retracé une chaîne de chargeur à travers des données de réputation de domaine, compilant finalement 334 échantillons sur une fenêtre de développement de trois mois. Ce n’est pas une preuve de concept. C’est une opération Malware-as-a-Service en direct avec des opérateurs identifiés.

Points clés :

• Portée de la menace : Torg Grabber scanne 850 extensions de navigateur, dont 728 sont des cibles de portefeuilles crypto, à travers 25 variantes de navigateur Chromium et 8 variantes de Firefox.
• Méthode d’attaque : Le dropper se fait passer pour une mise à jour légitime de Chrome (GAPI_Update.exe, 60 Mo), déploie la charge utile via une fausse barre de progression de mise à jour de sécurité Windows de 420 secondes, puis exfiltre les données en utilisant le chiffrement ChaCha20 avec authentification HMAC-SHA256 à travers l’infrastructure Cloudflare.
• Qui est à risque : Les utilisateurs de portefeuilles d’extension de navigateur — MetaMask, Phantom et des portefeuilles chauds comparables — sont confrontés à un vol direct de leurs identifiants ; les utilisateurs de portefeuilles matériels ne courent un risque indirect que si les phrases de récupération sont stockées numériquement.

Découvrez : Les meilleures préventes crypto gagnant du momentum institutionnel en ce moment

Le Mécanisme : Comment le Malware Torg Grabber Exécute l’Attaque sur les Portefeuilles Crypto

La chaîne d’infection s’ouvre avec un dropper déguisé en GAPI_Update.exe — un package InnoSetup de 60 Mo distribué à partir de l’infrastructure Dropbox. Il extrait trois DLL bénignes dans %LOCALAPPDATA%\Connector\ pour établir une empreinte propre, puis lance une fausse barre de progression de mise à jour de sécurité Windows fonctionnant pendant exactement 420 secondes, complète avec un art ASCII animé compilé via csc.exe. Le retard est délibéré : il crée une fenêtre d’installation plausible pendant que la charge utile se déploie.

L’exécutable final est déposé sous des noms randomisés — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — dans C:\Windows\ à travers des échantillons documentés. Un cas capturé de 13 Mo a engendré dllhost.exe et a tenté de désactiver le suivi des événements pour Windows avant que la détection comportementale ne le termine en cours d’exécution.

Après le déploiement, Torg Grabber cible 25 navigateurs Chromium, 8 variantes de Firefox, Discord, Steam, Telegram, clients VPN, clients FTP, clients email et gestionnaires de mots de passe en plus des portefeuilles crypto. Les données sont archivées dans un fichier ZIP en mémoire ou diffusées par morceaux. L’exfiltration passe par des points de terminaison Cloudflare en utilisant des en-têtes X-Auth-Token HMAC-SHA256 par demande et le chiffrement ChaCha20 — une architecture de qualité production, pas des outils improvisés.

L’analyse de Gen Digital a identifié plus de 40 balises d’opérateurs intégrées dans les binaires : surnoms, identifiants de lot encodés par date, et identifiants d’utilisateurs Telegram liant huit opérateurs à l’écosystème de cybercriminalité russe. Le modèle MaaS signifie que des opérateurs individuels peuvent déployer du shellcode personnalisé après l’enregistrement, élargissant la surface d’attaque au-delà de la configuration de base. Comme l’ont décrit les chercheurs de Gen Digital, Torg Grabber a évolué des dépôts morts de Telegram vers “une API REST de qualité production qui fonctionnait comme une montre suisse trempée dans du poison.”

Découvrez : Les meilleures crypto pour diversifier votre portefeuille

Le Signal d’Auto-Garde : Ce que 728 Portefeuilles Signifie Réellement

728 n’est pas un nombre arbitraire. Il représente un balayage de configuration délibéré, chaque portefeuille majeur basé sur le navigateur ayant un volume d’installation mesurable. MetaMask à lui seul compte plus de 30 millions d’utilisateurs actifs mensuels. La logique de ciblage des extensions signifie que Torg Grabber n’a pas besoin de trouver une victime spécifique ; il récolte quels que soient les identifiants de portefeuille présents sur n’importe quelle machine infectée.

Le risque plus large se divise nettement. Les utilisateurs en auto-garde stockant des phrases de récupération dans le stockage du navigateur, des fichiers texte ou des gestionnaires de mots de passe sont confrontés à un compromis total de leur portefeuille lors d’une seule infection. Les actifs détenus par les échanges ne sont pas directement exposés à ce vecteur d’attaque spécifique, le malware cible les magasins d’identifiants locaux, pas les API d’échange à grande échelle. Mais le vol de jetons de session du stockage du navigateur peut exposer des comptes d’échange connectés si les sessions de connexion sont actives.

Si la base d’opérateurs MaaS de Torg Grabber s’élargit, et la surveillance de Gen Digital de son infrastructure API REST suggère une itération active, la liste de ciblage des portefeuilles va croître. Le chiffre de 728 est un instantané actuel, pas un plafond. Des infostealers comparables comme Vidar et RedLine ont normalisé ce modèle il y a des années ; Torg Grabber exécute le même livre de jeu avec une infrastructure plus structurée.

Découvrez : Les meilleures préventes crypto gagnant du momentum institutionnel en ce moment

Suivez-nous sur Google News

Actualités Tendances Recommandé Sujets Crypto Populaires Prévisions de Prix

• Le pivot Blockchain de SWIFT remet XRP sous les projecteurs transfrontaliers
• Prévision du prix du Bitcoin : BTC un actif refuge, dit un analyste de Bloomberg
• Prévision du prix du Bitcoin : Conflits au Moyen-Orient et analyse du graphique BTC USD
• Prévision du prix du XRP : Ripple va-t-il s’envoler une fois la Clarity Act adoptée ?
• Ripple XRP entre dans le bac à sable MAS BLOOM pour piloter le règlement du financement du commerce RLUSD

Analyse des Prix

Prévision du prix du XRP : $10 est-il plausible ?

2026-03-25 20:00:00, par David Pokima

Analyse des Prix

L’IA Grok d’Elon prédit le prix du XRP, du Bitcoin et de l’Ethereum d’ici la fin de 2026

2026-03-19 19:58:01, par Ahmed Balaha

Analyse des Prix

Prévision du prix de l’Ethereum : L’offre des échanges la plus basse depuis 2016

2026-03-26 08:25:35, par David Pokima

Meilleure Crypto à Acheter Maintenant en Mars 2026 – Top Crypto à Investir

2026-02-24 10:31:20, par Alan Draper

Nouvelles Cryptomonnaies à Investir Aujourd’hui – Top Nouvelles Cryptomonnaies

2026-03-13 12:06:16, par Ines S. Tavares

9 Meilleures Préventes Crypto en Mars 2026

2026-03-23 11:22:28, par Alan Draper

7 Nouvelles & À Venir Listes Coinbase en Mars 2026

2026-02-24 11:25:06, par Ilija Rankovic

10 Nouvelles & À Venir Listes Binance en 2026

2026-02-24 11:07:23, par Ilija Rankovic

12 Cryptos Prêtes à Exploser en 2026 – Nos Meilleurs Choix

2026-03-24 10:41:46, par Ilija Rankovic

Prévision du prix du Bitcoin (BTC) 2026, 2027 – 2030

2026-03-27 07:30:00, par Leon Waters

Prévision du prix du XRP (XRP) 2026, 2027 – 2030

2026-03-27 07:30:00, par Ihssan El Medkouri

Prévision du prix de l’Ethereum 2026, 2027 – 2030

2026-03-27 07:30:00, par Alan Draper