Torg Grabber, un malware de type \u00ab infostealer \u00bb r\u00e9cemment identifi\u00e9, cible 728 extensions de portefeuilles crypto parmi 850 add-ons de navigateurs, et son d\u00e9ploiement est d\u00e9j\u00e0 actif.<\/p>
Le malware exfiltre les phrases de r\u00e9cup\u00e9ration (seed phrases), les cl\u00e9s priv\u00e9es et les jetons de session via des canaux chiffr\u00e9s avant que la plupart des outils de protection des points de terminaison ne d\u00e9tectent l’\u00e9v\u00e9nement. Les utilisateurs en auto-conservation (self-custody) utilisant des portefeuilles bas\u00e9s sur navigateur constituent la principale surface d’exposition.<\/p>
Les chercheurs de Gen Digital<\/a> ont document\u00e9 la menace apr\u00e8s avoir trac\u00e9 une cha\u00eene de chargement via des donn\u00e9es de r\u00e9putation de domaine, compilant finalement 334 \u00e9chantillons sur une p\u00e9riode de d\u00e9veloppement de trois mois.<\/p> Il ne s’agit pas d’une preuve de concept, mais d’une op\u00e9ration active de Malware-as-a-Service (MaaS) avec des op\u00e9rateurs identifi\u00e9s.<\/p> D\u00e9couvrez : Les meilleures cryptos qui pourraient exploser<\/a><\/strong><\/p> <\/span> Il extrait trois DLL b\u00e9nignes dans L’ex\u00e9cutable final est d\u00e9pos\u00e9 sous des noms al\u00e9atoires \u2014 v4jkqh.exe, hkjpy08.exe, ln3dkgz.exe \u2014 dans C:\\Windows\\ selon les \u00e9chantillons document\u00e9s. Une instance de 13 Mo captur\u00e9e a engendr\u00e9 dllhost.exe et a tent\u00e9 de d\u00e9sactiver l’Event Tracing de Windows avant qu’une d\u00e9tection comportementale ne mette fin \u00e0 son ex\u00e9cution.<\/p> Apr\u00e8s le d\u00e9ploiement, Torg Grabber cible 25 navigateurs Chromium, 8 variantes de Firefox, Discord, Steam, Telegram, des clients VPN, des clients FTP, des clients de messagerie et des gestionnaires de mots de passe en plus des portefeuilles crypto.<\/p> Les donn\u00e9es sont archiv\u00e9es dans un ZIP en m\u00e9moire ou diffus\u00e9es par blocs. L’exfiltration transite par des points de terminaison Cloudflare en utilisant des en-t\u00eates X-Auth-Token HMAC-SHA256 par requ\u00eate et un chiffrement ChaCha20 \u2014 une architecture de niveau professionnel, et non un outil improvis\u00e9.<\/p> \ud83d\udea8 CRYPTO THEFT MALWARE: New \u201cTorg Grabber\u201d infostealer targets 728 cryptocurrency wallets.<\/p>\n The malware is designed to harvest wallet data and enable theft of digital assets.<\/p>\n Crypto wallets remain a primary target for financially motivated attackers.<\/p>\n — CyberAlertsHQ (@CyberAlertsHQ) March 25, 2026<\/a><\/p><\/blockquote>\n
Le m\u00e9canisme : comment le malware Torg Grabber ex\u00e9cute l’attaque sur les portefeuilles crypto<\/h2>
\nLa cha\u00eene d’infection commence par un dropper d\u00e9guis\u00e9 en GAPI_Update.exe \u2014 un package InnoSetup de 60 Mo distribu\u00e9 depuis l’infrastructure Dropbox.<\/p>%LOCALAPPDATA%\\Connector\\<\/code> pour \u00e9tablir une empreinte d’apparence propre, puis lance une fausse barre de progression de mise \u00e0 jour de s\u00e9curit\u00e9 Windows durant exactement 420 secondes<\/strong>, compl\u00e9t\u00e9e par un art ASCII anim\u00e9 compil\u00e9 via csc.exe. Ce d\u00e9lai est d\u00e9lib\u00e9r\u00e9 : il cr\u00e9e une fen\u00eatre d’installation plausible pendant que la charge utile se d\u00e9ploie.<\/p>\n