Le nouveau malware « Torg Grabber » cible 728 portefeuilles crypto
Torg Grabber, un malware de type « infostealer » récemment identifié, cible 728 extensions de portefeuilles crypto parmi 850 add-ons de navigateurs, et son déploiement est déjà actif.
Le malware exfiltre les phrases de récupération (seed phrases), les clés privées et les jetons de session via des canaux chiffrés avant que la plupart des outils de protection des points de terminaison ne détectent l’événement. Les utilisateurs en auto-conservation (self-custody) utilisant des portefeuilles basés sur navigateur constituent la principale surface d’exposition.
Les chercheurs de Gen Digital ont documenté la menace après avoir tracé une chaîne de chargement via des données de réputation de domaine, compilant finalement 334 échantillons sur une période de développement de trois mois.
Il ne s’agit pas d’une preuve de concept, mais d’une opération active de Malware-as-a-Service (MaaS) avec des opérateurs identifiés.
- Portée de la menace : Torg Grabber analyse 850 extensions de navigateur, dont 728 portefeuilles crypto cibles, sur 25 variantes de navigateurs Chromium et 8 variantes de Firefox.
- Méthode d’attaque : Le dropper se fait passer pour une mise à jour légitime de Chrome (GAPI_Update.exe, 60 Mo), déploie la charge utile via une fausse barre de progression de mise à jour de sécurité Windows de 420 secondes, puis exfiltre les données en utilisant le chiffrement ChaCha20 avec authentification HMAC-SHA256 via l’infrastructure Cloudflare.
- Qui est à risque : Les utilisateurs de portefeuilles en extension de navigateur — MetaMask, Phantom et autres hot wallets comparables — font face à un vol direct d’identifiants ; les utilisateurs de portefeuilles physiques (hardware wallets) ne courent un risque indirect que si leurs phrases de récupération sont stockées numériquement.
Découvrez : Les meilleures cryptos qui pourraient exploser
Le mécanisme : comment le malware Torg Grabber exécute l’attaque sur les portefeuilles crypto
La chaîne d’infection commence par un dropper déguisé en GAPI_Update.exe — un package InnoSetup de 60 Mo distribué depuis l’infrastructure Dropbox.
Il extrait trois DLL bénignes dans %LOCALAPPDATA%\Connector\ pour établir une empreinte d’apparence propre, puis lance une fausse barre de progression de mise à jour de sécurité Windows durant exactement 420 secondes, complétée par un art ASCII animé compilé via csc.exe. Ce délai est délibéré : il crée une fenêtre d’installation plausible pendant que la charge utile se déploie.
L’exécutable final est déposé sous des noms aléatoires — v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe — dans C:\Windows\ selon les échantillons documentés. Une instance de 13 Mo capturée a engendré dllhost.exe et a tenté de désactiver l’Event Tracing de Windows avant qu’une détection comportementale ne mette fin à son exécution.
Après le déploiement, Torg Grabber cible 25 navigateurs Chromium, 8 variantes de Firefox, Discord, Steam, Telegram, des clients VPN, des clients FTP, des clients de messagerie et des gestionnaires de mots de passe en plus des portefeuilles crypto.
Les données sont archivées dans un ZIP en mémoire ou diffusées par blocs. L’exfiltration transite par des points de terminaison Cloudflare en utilisant des en-têtes X-Auth-Token HMAC-SHA256 par requête et un chiffrement ChaCha20 — une architecture de niveau professionnel, et non un outil improvisé.
🚨 CRYPTO THEFT MALWARE: New “Torg Grabber” infostealer targets 728 cryptocurrency wallets.
The malware is designed to harvest wallet data and enable theft of digital assets.
Crypto wallets remain a primary target for financially motivated attackers.
— CyberAlertsHQ (@CyberAlertsHQ) March 25, 2026
L’analyse de Gen Digital a identifié plus de 40 balises d’opérateurs intégrées dans les binaires : pseudos, identifiants de lots encodés par date et identifiants d’utilisateurs Telegram reliant huit opérateurs à l’écosystème de la cybercriminalité russe.
Le modèle MaaS signifie que les opérateurs individuels peuvent dépoyér du shellcode personnalisé après l’enregistrement, élargissant la surface d’attaque au-delà de la configuration de base.
Comme l’ont décrit les chercheurs de Gen Digital, Torg Grabber a ßvolué des points de dépôt Telegram vers « une API REST de qualité industrielle fonctionnant comme une montre suisse trempée dans le poison ».
Le signal de l’auto-conservation : ce que signifient réellement 728 portefeuilles
728 n’est pas un nombre arbitraire. Il représente un balayage de configuration délibéré, incluant chaque portefeuille majeur basé sur navigateur avec un volume d’installation mesurable. MetaMask compte à lui seul plus de 30 millions d’utilisateurs actifs mensuels.
La logique de ciblage des extensions signifie que Torg Grabber n’a pas besoin de trouver une victime spécifique ; il récupère tous les identifiants de portefeuille présents sur n’importe quelle machine infectée.
Le risque global se divise nettement en deux. Les utilisateurs en auto-conservation stockant des phrases de récupération dans le stockage du navigateur, des fichiers texte ou des gestionnaires de mots de passe s’exposent à une compromission totale du portefeuille dès une seule infection.
Les actifs détenus sur des plateformes d’échange ne sont pas directement exposés à ce vecteur d’attaque spécifique, le malware ciblant les stockages d’identifiants locaux et non les API des plateformes à grande échelle. Cependant, le vol de jetons de session peut exposer les comptes d’échange connectés si les sessions de connexion sont actives.
Si la base d’opérateurs MaaS de Torg Grabber s’étend — et la surveillance de son infrastructure API REST par Gen Digital suggère une itération active —, la liste des portefeuilles cibles s’allongera. Le chiffre de 728 est un instantané actuel, pas un plafond. Des infostealers comparables comme Vidar et RedLine ont normalisé ce modèle il y a des années ; Torg Grabber exécute la même stratégie avec une infrastructure plus structurée.
Pourquoi nous faire confiance
2M+
250+
8
70
Plus d'articles
in numbers
