La campagne de malware Torg Grabber élargit le ciblage des extensions de navigateur
Les chercheurs en sécurité ont découvert une campagne sophistiquée de malware voleur d'informations le 25 mars 2026, impliquant une nouvelle menace appelée Torg Grabber qui cible spécifiquement les données des extensions de navigateur. Le malware démontre une portée sans précédent en compromettant des informations sensibles provenant de 850 extensions de navigateur différentes, plus de 700 d'entre elles ciblant spécifiquement les extensions de portefeuille de crypto-monnaies.
Torg Grabber représente une évolution significative des capacités de vol d'informations, allant au-delà de la récolte traditionnelle d'identifiants pour se concentrer sur les écosystèmes des extensions de navigateur. L'architecture du malware suggère qu'il a été conçu avec une reconnaissance extensive des extensions de navigateur populaires, en particulier celles gérant les transactions de crypto-monnaies et la gestion des portefeuilles. Les analystes en sécurité notent que cela représente l'une des campagnes de ciblage d'extensions de navigateur les plus complètes observées à ce jour.
Le malware fonctionne en analysant les systèmes infectés pour les répertoires et fichiers de configuration spécifiques des extensions de navigateur. Une fois identifiés, Torg Grabber extrait les identifiants stockés, les clés privées, les phrases de récupération et les historiques de transactions des portefeuilles de crypto-monnaies. La menace récolte également les jetons d'authentification, les cookies de session et les mots de passe stockés provenant des extensions de productivité et de médias sociaux. Cette approche multi-vecteurs permet aux attaquants d'obtenir un accès complet aux identités numériques et aux actifs financiers des victimes.
Les vecteurs d'infection initiaux semblent inclure les pièces jointes malveillantes, les téléchargements de logiciels compromis et les téléchargements forcés à partir de sites Web compromis. Le malware présente des techniques d'évasion sophistiquées, y compris le processus creux et les mécanismes anti-analyse conçus pour éviter la détection par les solutions antivirus traditionnelles. Le catalogue des vulnérabilités exploitées connues de CISA continue de surveiller les modèles d'exploitation connexes à mesure que la campagne évolue.
Les utilisateurs de crypto-monnaies et l'écosystème des extensions de navigateur sont en danger
Les cibles principales de Torg Grabber sont les utilisateurs d'extensions de portefeuille de crypto-monnaies populaires telles que MetaMask, Coinbase Wallet, Trust Wallet et Phantom. Le malware cible spécifiquement les navigateurs Chrome, Firefox, Edge et Opera sur les systèmes d'exploitation Windows, macOS et Linux. Les chercheurs en sécurité estiment que des millions d'utilisateurs de crypto-monnaies dans le monde pourraient être vulnérables, en particulier ceux qui stockent les identifiants du portefeuille ou les clés privées dans le stockage des extensions de navigateur.
Au-delà des portefeuilles de crypto-monnaies, Torg Grabber affecte les utilisateurs des gestionnaires de mots de passe, des extensions d'authentification à deux facteurs et des outils de productivité qui stockent les données sensibles localement. La liste de ciblage extensive du malware inclut les extensions pour les services bancaires, le commerce électronique, les plateformes de médias sociaux et les outils de collaboration en entreprise. Les organisations utilisant des systèmes d'authentification basés sur le navigateur et les employés accédant aux ressources d'entreprise via des extensions de navigateur font face à des risques accrus de cette campagne.
La menace a un impact particulier sur les utilisateurs qui n'ont pas mis en œuvre de bonnes pratiques d'hygiène de sécurité, comme l'utilisation de portefeuilles matériels pour le stockage de crypto-monnaies ou l'activation de couches d'authentification supplémentaires. Les petites et moyennes entreprises s'appuyant sur les extensions de navigateur pour les opérations quotidiennes peuvent être exposées de manière significative, en particulier celles des secteurs des services financiers, du commerce électronique et de la technologie où les transactions de crypto-monnaies sont courantes.
Stratégies de détection et d'atténuation pour Torg Grabber
Les organisations doivent immédiatement mettre en œuvre des solutions complètes de détection et réponse aux points de terminaison (EDR) capables de surveiller les activités des extensions de navigateur et les modifications du système de fichiers. Les équipes de sécurité doivent configurer la surveillance des modèles de trafic réseau inhabituels, en particulier les connexions à l'infrastructure de commande et de contrôle connue associée aux campagnes de vol d'informations. L'analyse récente de malware similaire ciblant les crypto-monnaies fournit un contexte supplémentaire pour les stratégies de détection.
Les étapes d'atténuation immédiates incluent la désactivation des extensions de navigateur inutiles, en particulier celles disposant d'autorisations étendues ou d'un accès aux données sensibles. Les utilisateurs doivent migrer les actifs de crypto-monnaies vers des portefeuilles matériels et éviter de stocker les clés privées ou les phrases de récupération dans les systèmes de stockage basés sur le navigateur. Les organisations doivent mettre en œuvre la mise en liste blanche des applications et restreindre l'installation des extensions de navigateur via les contrôles de stratégie de groupe.
Les administrateurs de sécurité doivent déployer la segmentation du réseau pour limiter le mouvement latéral si les systèmes sont compromis. La formation régulière de sensibilisation à la sécurité portant sur la reconnaissance du phishing et les pratiques de navigation sécurisée devient essentielle, car les vecteurs d'infection initiaux reposent fortement sur les tactiques d'ingénierie sociale. Les équipes de réponse aux incidents doivent préparer des procédures pour les scénarios de vol de crypto-monnaies, y compris la coordination avec les bourses et les agences d'application de la loi pour les efforts de récupération d'actifs.
