Si ça ressemble à un film de science-fiction, c'est parce que la scène de crime numérique travaille déjà avec ses propres écrivains : un nouveau voleur d'information appelé Torg Grabber Il montre que les attaquants non seulement diversifient leurs objectifs, mais aussi améliorent leurs techniques à un rythme accéléré. Chercheurs de la société de cybersécurité Gen numérique ont publié une analyse qui peint une image troublante: ce malware pointe à des centaines d'extensions de navigateur, en particulier à cryptomonéda portefeuilles, et évolue semaine par semaine.
La porte d'entrée de Torg Grabber n'est pas une vulnérabilité du navigateur natif, mais une ingénierie sociale qui exploite la confiance de l'utilisateur: au moyen de la technique connue comme Cliquez surFix malware manipule le presse-papiers et trompe la victime pour frapper et exécuter une commande PowerShell. En d'autres termes, l'attaquant compte sur le comportement humain (coller ce qui apparaît à l'écran) pour obtenir l'exécution à distance sans avoir à dessiner directement les défenses du système.
Une fois à l'intérieur, Torg Grabber applique des stratégies d'évasion modernes: il charge sa charge utile en mémoire, utilise des techniques d'utilisation de couches, utilise des appels directs du système (syscalls) et utilise la charge réfléchissante de DLs pour éviter d'être détecté par des analyses traditionnelles basées sur des fichiers. Les chercheurs soulignent également que le projet est pleinement opérationnel : en seulement trois mois (décembre 2025 à février 2026), 334 échantillons uniques ont été identifiés et de nouveaux serveurs de commande et de contrôle sont enregistrés chaque semaine.
La portée de ce que vous pouvez commencer à partir de l'équipement engagé est large. Gen Documents numériques que Torg Grabber tente d'extraire des identifiants, des cookies et des données auto-complétées de 25 navigateurs à base de chrome et huit variantes Firefox. Des 850 extensions que vous regardez, Plus de 700 portefeuilles de cryptomonéda, une liste qui comprend à la fois les noms les plus connus - MetaMask, Phantom, Trust Wallet, Coinbase, Binance ou Exode - et des centaines de projets moins populaires. Il y a aussi 103 extensions liées aux gestionnaires de mot de passe et d'authentification (de LastPass et 1Password aux solutions Bitwarden et TOTP) et plusieurs applications de notation et de messagerie.
Le modus operandi d'exfiltration a changé au fil du temps. Selon le rapport, les premières versions de logiciels malveillants ont envoyé des informations via Telegram ou via un protocole TCP auto-crypté. À la mi-décembre 2025, les responsables ont modifié leur stratégie et ont continué à utiliser les connexions HTTPS canalisées par l'infrastructure Cloudflare, une conception qui facilite le téléchargement des données en fragments et la livraison de charges utiles supplémentaires sans soulever autant de soupçons sur le réseau.
Un détail technique pertinent est l'émergence d'un outil auxiliaire appelé Sous terre, conçu pour extraire les données du navigateur directement. Cet utilitaire a injecté une DLL réfléchiment dans le processus du navigateur pour accéder au service de levage COM de Chrome et obtenir la clé de chiffrement maître, une technique qui a déjà été vue dans les familles de vols d'identités précédentes. Cette capacité, associée à la capacité de prendre des captures, d'inventer des logiciels installés (y compris des produits antivirus) et de voler des fichiers Desktop et Documents, fait de Torg Grabber une menace très polyvalente.
Les chercheurs soulignent également que les logiciels malveillants peuvent recevoir et exécuter shellcode envoyé de C2 crypté avec ChaCha et compressé avec zlib, ce qui facilite la livraison dynamique des modules sans laisser d'artefacts sur disque. En outre, l'équipe Digital Gen met en garde contre l'expansion rapide de l'écosystème opérateur : les premiers échantillons ont montré jusqu'à 40 étiquettes différentes, suggérant que plusieurs groupes ou individus profitent de la plateforme et l'adaptent.
Si toute cette description semble alarmante, il existe des mesures concrètes qui réduisent le risque. Tout d'abord, méfiez-vous de la copie et de l'exécution des commandes qui apparaissent sur les pages Web, les discussions ou les fenêtres émergentes; apprenez à inspecter le contenu du presse-papiers avant de le frapper et, si possible, évitez d'exécuter PowerShell à partir de sources peu fiables. Gardez le navigateur et les extensions à jour, limitez le nombre de plugins installés à ceux strictement nécessaires et examinez les autorisations que nous accordons à chaque extension aide également à réduire la surface d'attaque.
Pour ceux qui gèrent des actifs numériques, la recommandation n'est pas de s'appuyer uniquement sur des extensions pour protéger les cryptomones : utiliser des portefeuilles de matériel pour des fonds importants ajoute une couche physique de protection contre ce type d'info-voleurs. Dans les environnements d'entreprise, les solutions de détection des paramètres et de réponse qui surveillent l'exécution de la mémoire, ainsi que les filtres de contenu et de politique qui bloquent l'exécution des commandes suspectes, sont des lignes de défense importantes.
Le cas de Torg Grabber rappelle que les menaces modernes combinent l'ingénierie sociale avec des techniques sophistiquées d'évasion et de persistance. Si vous voulez lire l'analyse technique complète et mise à jour, le rapport de Gen Digital détails échantillons, indicateurs et comportements observés: Gen Rapport numérique sur Torg Grabber. Pour une perspective de presse supplémentaire et une contextualisation, vous pouvez voir la couverture dans des médias spécialisés, qui recueillent la portée et l'évolution rapide de cette famille de logiciels malveillants: article dans BleepingComputer.
La technologie avance et les tactiques des attaquants aussi. Le fait d'être informé, d'appliquer les bonnes pratiques de base et de traiter les extensions de presse-papiers et les commandes avec une suspicion raisonnable sont de petites routines qui, ensemble, réduisent considérablement le risque de devenir la prochaine victime.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...