« Un véritable fantôme » s’attaque actuellement à votre navigateur. Capable de siphonner toutes vos données, le malware Torg Grabber vise 850 extensions, dont des gestionnaires de mots de passe, des outils d’authentification et des portefeuilles crypto.
Un nouveau malware de type infostealer a été découvert et analysé par les chercheurs de Gen Digital. Baptisé Torg Grabber, le virus est taillé pour siphonner toutes les données disponibles sur l’ordinateur de sa victime, par le biais du navigateur, tel que Chrome, Firefox, Brave, Edge, Vivaldi et Opera. Au total, 25 navigateurs reposant sur Chromium et deux variantes de Firefox sont dans le collimateur du malware. Le logiciel « sait où chercher, quoi voler et comment disparaître sans laisser de traces », souligne le rapport, paru ce 25 mars 2026.
À lire aussi : Une cyberattaque au coeur de l’IA sème la panique chez les développeurs
850 extensions dans le viseur
Le virus vise 850 extensions de navigateur différentes, dont 728 extensions relatives à des portefeuilles crypto. Sans surprise, le malware cherche à mettre la main sur des clés privées ou d’autres informations, comme des mots de passe et des identifiants, qui vont permettre aux pirates de voler des cryptomonnaies. Parmi les cibles privilégiées de Torg Grabber, on trouve MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, ou encore Solflare.
Selon les investigations de Gen Digital, le malware s’attaque aussi à 103 extensions de gestionnaires de mots de passe et d’outils d’authentification à deux facteurs, comme LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, ou Authy. Il cible aussi 19 applications de prise de notes.
À lire aussi : L’arme des hackers contre la double authentification est déjà de retour
Une cyberattaque ClickFix
Pour arriver à ses fins, et infecter le navigateur des internautes, le virus utilise la technique ClickFix. Cette tactique consiste à manipuler les utilisateurs pour les conduire à réaliser des actions bien précises. En l’occurrence, les pirates commencent par demander à l’internaute de copier une ligne de commande. Les hackers modifient alors le presse-papiers pour remplacer la commande par une commande malveillante. La victime colle puis lance cette commande en pensant exécuter quelque chose de légitime, alors qu’elle vient d’installer le malware sur sa machine.
Selon les chercheurs de Gen Digital, le malware est actuellement en développement actif. Entre décembre 2025 et février 2026, pas moins de 334 échantillons uniques ont été compilés par les cybercriminels à l’origine de l’opération. Au fil des semaines, le malware a considérablement évolué et de nouvelles fonctionnalités sont venues s’ajouter à son arsenal. Les pirates ont rendu le malware plus sophistiqué et plus discret. Par exemple, la partie la plus dangereuse du virus s’exécute uniquement en mémoire, sans s’installer sur le disque, ce qui la rend beaucoup plus difficile à repérer, notamment par les antivirus. Aux yeux des chercheurs, le virus fonctionne comme « un véritable fantôme qui ne laisse aucune trace ».
Un virus en évolution permanente
En miroir du virus VoidStealer, Torg Grabber est en mesure de récupérer la clé de chiffrement principale de Chrome, ce qui lui ouvre ensuite l’accès à des données normalement protégées, comme les cookies. En outre, il peut prendre des captures d’écran sur l’ordinateur, dresser le profil matériel de la machine, lister tous les logiciels antivirus installés, et voler des fichiers de l’utilisateur. Tout porte à croire que le virus continue d’évoluer et que de nouvelles variantes encore plus redoutables risquent de voir le jour, estime Gen Digital.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
GenDigital