Derrière un faux message d’assistance, Torg Grabber déroule une routine désormais bien connue, mais toujours efficace. Ce nouvel infostealer s’invite partout où des données sensibles sont accessibles, en usant de techniques capables de contourner les protections des navigateurs.

Attention à Torg Grabber, cet infostealer qui cible portefeuilles crypto, mots de passe et données locales. © janews / Shutterstock
Attention à Torg Grabber, cet infostealer qui cible portefeuilles crypto, mots de passe et données locales. © janews / Shutterstock

Les infostealers ont rarement la main légère, et Torg Grabber le confirme sans trop faire dans la nuance. D’après les travaux de Gen Digital publiés cette semaine, ce nouveau malware vise 850 extensions de navigateur, parmi lesquelles 728 liées à des portefeuilles de cryptomonnaies, 103 associées aux mots de passe, aux jetons et à l’authentification, ainsi que 19 applications de prise de notes. Un voleur de données ultra-vorace, au périmètre déjà très étendu, qui continue d’évoluer à bon rythme.

Un malware pensé pour ratisser large

Comme la plupart des infostealers récents, Torg Grabber se diffuse via des attaques ClickFix pour obtenir un premier accès à la machine ciblée. Cette technique de social engineering consiste à pousser la victime à exécuter elle-même une commande PowerShell malveillante, sous couvert d’une action légitime. Dans le cas observé par Gen Digital, le piège passe par une page web se présentant comme une étape de vérification ou de mise à jour, qui copie discrètement la commande dans le presse-papiers avant d’inciter à la lancer.

Une fois la machine compromise, Torg Grabber ne se contente pas de récupérer deux ou trois identifiants égarés dans un navigateur. Il ratisse beaucoup plus large. Le malware cible 25 navigateurs basés sur Chromium et 8 variantes de Firefox afin d’extraire identifiants, cookies et données d’autoremplissage. Il vise évidemment les grands noms du secteur crypto comme MetaMask, Trust Wallet, Coinbase, Binance, Exodus ou Keplr, mais aussi une centaine d’extensions liées aux mots de passe, dont LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane ou Proton Pass, ainsi que des outils d’authentification et de prise de notes, afin d’y récupérer identifiants, jetons et seed phrases potentiellement stockés.

En parallèle, Torg Grabber peut aussi profiler la machine, produire une empreinte matérielle, inventorier les logiciels installés, y compris les antivirus actifs, capturer l’écran et récupérer des fichiers dans les répertoires Bureau et Documents. Il cible par ailleurs plusieurs applications et services du quotidien comme Discord, Telegram, Steam, des clients mail, des outils FTP ou encore des applications VPN, ainsi que des gestionnaires de mots de passe et des portefeuilles crypto installés localement.

Bref, un ensemble presque tentaculaire, qui s’infiltre à tous les niveaux du système et continue d’évoluer rapidement. Gen Digital a en effet confirmé avoir identifié 334 échantillons uniques compilés entre décembre 2025 et février 2026, et observé l’enregistrement de nouveaux serveurs de commande et de contrôle chaque semaine. L’infrastructure a elle aussi évolué, passant d’une exfiltration via Telegram à un protocole TCP chiffré maison, puis à des communications HTTPS plus discrètes.

Torg Grabber s'infiltre partout sur le système, ciblant en priorité les extensions de portefeuilles crypto et de gestionnaires de mots de passe, mais cherchant aussi à sonder vos outils de prise de notes pour y siphonner les identifiants que vous y avez éventuellement stockés.
Torg Grabber s'infiltre partout sur le système, ciblant en priorité les extensions de portefeuilles crypto et de gestionnaires de mots de passe, mais cherchant aussi à sonder vos outils de prise de notes pour y siphonner les identifiants que vous y avez éventuellement stockés.

Des techniques d’évasion avancées, des usages à ajuster

Si Torg Grabber s’avère à la fois intrusif et durable, c’est aussi parce qu’il s’appuie sur un ensemble de techniques éprouvées pour compliquer l’analyse. Le malware multiplie les couches d’obfuscation, contourne certaines fonctions surveillées du système et charge ses composants directement en mémoire, si bien que sa charge finale s’exécute sans laisser de traces évidentes sur le disque.

Il intègre aussi des méthodes capables de contourner l’App-Bound Encryption (ABE), la protection introduite dans Chrome et plusieurs navigateurs dérivés pour mieux sécuriser certaines données sensibles comme les cookies et les sessions actives. Une approche qui rappelle celle observée récemment avec VoidStealer, lui aussi capable de contourner ce dispositif pour récupérer la clé maîtresse de chiffrement du navigateur.

Par conséquent, restez particulièrement vigilant face aux pages web, pop-ups ou messages d’erreur qui vous demandent de copier-coller une commande dans le terminal, PowerShell ou la boîte d’exécution Windows. Ce type de manipulation ne correspond à aucune procédure normale et flaire le ClickFix à plein nez.

Limitez aussi ce que vous stockez dans le navigateur ou dans vos outils de prise de notes. Plus les données sensibles s’accumulent localement, plus un infostealer a de matière à exploiter. Préférez vous appuyer sur un gestionnaire de mots de passe dédié pour mieux compartimenter ces informations et réduire la surface d’exposition.

Même principe pour les cryptomonnaies. Évitez de concentrer l’ensemble de vos actifs dans des extensions de navigateur utilisées au quotidien. Mieux vaut cloisonner les usages et réserver les montants les plus sensibles à des solutions plus isolées, comme un portefeuille matériel.

Enfin, en cas d’infection suspectée, déconnectez immédiatement la machine du réseau, effectuez une analyse complète avec votre antivirus, changez tous vos mots de passe depuis un appareil sain, révoquez les sessions actives et surveillez de près les mouvements sur vos comptes les plus sensibles.

Source : Gen Digital

À découvrir
Meilleur antivirus : le comparatif en mars 2026
01 mars 2026 à 09h54
Comparatifs services