Torg Grabber : Un Infostealer Cible 728 Portefeuilles Crypto via PowerShell

Un nouveau logiciel malveillant d'exfiltration de donnees baptise Torg Grabber cible activement 728 extensions de portefeuilles cryptographiques sur 25 navigateurs, en utilisant la technique ClickFix via PowerShell pour l'acces initial. Les chercheurs de Gen Digital ont identifie 334 echantillons uniques developpes en seulement trois mois, avec de nouvelles infrastructures de commande et de controle deployees chaque semaine.

25 mars 2026, 00:00 6 min de lecture —

Dernière mise à jour 25 mars 2026, 21:18

SÉVÉRITÉÉlevé

EXPLOITExploit Actif

CORRECTIFNon Disponible

ÉDITEURGen Digital (threat researcher), Multiple browser vendors

AFFECTÉSChrome, Edge, Brave, Vivaldi, ...

Points Clés

Torg Grabber est un infostealer Malware-as-a-Service (MaaS) en rapide evolution, observe pour la premiere fois en decembre 2025
Gen Digital a identifie 334 echantillons uniques compiles en 3 mois (decembre 2025 a fevrier 2026)
Le malware cible 728 extensions de portefeuilles cryptographiques, 103 gestionnaires de mots de passe et 850 extensions de navigateur au total
L'infection initiale repose sur la technique ClickFix, incitant les victimes a executer des commandes PowerShell malveillantes
Torg Grabber contourne le chiffrement App-Bound dans Chrome, Edge, Brave, Vivaldi et Opera pour voler les identifiants stockes
Les donnees sont exfiltrees via des connexions HTTPS chiffrees ChaCha20 routees par l'infrastructure Cloudflare
De nouveaux domaines C2 sont enregistres chaque semaine, avec 40 tags d'operateurs distincts documentes

Torg Grabber : L'Infostealer Qui Vide Silencieusement Vos Portefeuilles Crypto

Les chercheurs en cybersecurite de Gen Digital ont identifie une nouvelle menace de type malware-as-a-service (MaaS) baptisee Torg Grabber. Ce voleur d'informations est concu pour piller les extensions de portefeuilles cryptographiques, derober des identifiants de navigation et exfiltrer des donnees sensibles a grande echelle. Distribue via la technique d'ingenierie sociale ClickFix, ce logiciel malveillant marque une escalade significative dans le paysage des infostealers.

Ce Qui S'est Passe

En mars 2026, la societe Gen Digital a publie un rapport technique detaille exposant Torg Grabber, un voleur d'identifiants actif depuis decembre 2025. Initialement confondu avec le malware Vidar, une analyse approfondie a revele une base de code entierement distincte avec sa propre infrastructure C2. La firme a documente 334 echantillons compiles uniques sur une periode de trois mois, avec de nouveaux domaines C2 enregistres chaque semaine et 40 tags d'operateurs documentes.

Details Techniques

Torg Grabber obtient son acces initial via la technique ClickFix, qui detourne le presse-papiers pour inciter les victimes a executer des commandes PowerShell malveillantes. Le malware utilise une chaine de decompactage a sept couches avant de deployer une charge utile de 683 Ko entierement en memoire. Depuis le 22 decembre 2025, il contourne le chiffrement App-Bound dans Chrome, Edge, Brave, Vivaldi et Opera en injectant une DLL de 20 Ko dans un processus de navigateur legitime pour extraire la cle de chiffrement principale via COM Elevation Service. L'exfiltration s'effectue via HTTPS route par Cloudflare, avec des uploads chiffres ChaCha20 et authentifies par HMAC-SHA256.

Impact

Torg Grabber cible 25 navigateurs bases sur Chromium et 8 variantes de Firefox, derobant identifiants, cookies et donnees de saisie depuis 850 extensions. Parmi celles-ci, 728 sont des extensions de portefeuilles cryptographiques, dont MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus et OKX. Le malware cible egalement 103 extensions de gestionnaires de mots de passe et 2FA (LastPass, 1Password, Bitwarden), 19 applications de notes, Discord, Telegram, Steam, clients VPN, FTP et messagerie. Il peut aussi profiler le systeme, capturer des screenshots, voler des fichiers et executer du shellcode.

Mesures de Protection

Aucun correctif n'est applicable car il s'agit d'une campagne malveillante. Les utilisateurs ne doivent jamais executer des commandes suggeres par des sites web via le presse-papiers. Les organisations doivent appliquer des listes d'autorisation, restreindre PowerShell, deployer des solutions EDR et surveiller le trafic HTTPS anormal. Les detenteurs de cryptomonnaies devraient utiliser des portefeuilles materiels et activer toutes les fonctionnalites de securite disponibles dans leurs navigateurs.

Questions Fréquentes

What is Torg Grabber?+

Torg Grabber is a Malware-as-a-Service (MaaS) information stealer that targets cryptocurrency wallet extensions, browser credentials, and sensitive data. It was first identified in December 2025 and is actively developed with new samples released weekly.

How does Torg Grabber infect systems?+

Torg Grabber uses the ClickFix social engineering technique to hijack clipboard content, tricking victims into pasting and executing malicious PowerShell commands. This gives the malware initial access to the compromised system.

Which cryptocurrency wallets are targeted?+

Torg Grabber targets 728 cryptocurrency wallet browser extensions, including major wallets such as MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, OKX, Keplr, Rabby, and hundreds of lesser-known wallets.

Does Torg Grabber bypass Chrome security?+

Yes. Since December 22, 2025, Torg Grabber includes a module that bypasses Google Chrome's App-Bound Encryption (ABE) by injecting a DLL into the browser process to extract the master encryption key via COM Elevation Service.

Is there a patch available for Torg Grabber?+

No. Torg Grabber is a malware campaign, not a software vulnerability. Protection relies on security awareness, EDR solutions, PowerShell restrictions, and use of hardware wallets for cryptocurrency storage.