Netcrook Logo
👤 LOGICFALCON
🗓️ 27 Mar 2026  

Dans l’ombre du Web : comment le malware franchisé Torg Grabber déjoue les défenseurs

Un nouveau stealer en évolution rapide utilise des API chiffrées et des “franchises” criminelles pour siphonner les secrets des navigateurs de victimes dans le monde entier.

Tout commence par un clic - peut-être une triche de jeu séduisante ou une application piratée. En quelques secondes, un code invisible démantèle votre vie numérique, et les criminels derrière Torg Grabber ont déjà une longueur d’avance. Dans la course effrénée entre cybercriminels et défenseurs, ce nouveau stealer ne fait pas que suivre : il impose le rythme.

Innovation criminelle en accéléré

Des chercheurs en sécurité ont récemment démasqué Torg Grabber, une nouvelle génération de stealer qui rebat les cartes de l’économie du cybercrime. Ce qui distingue Torg Grabber n’est pas seulement sa prouesse technique - c’est la rapidité et la sophistication de son évolution. En seulement trois mois, plus de 330 échantillons uniques ont été déployés, chacun plus avancé que le précédent, alors que les auteurs affinent leurs outils en temps réel.

Au départ, Torg Grabber utilisait des méthodes grossières : des identifiants volés compressés et envoyés via des bots Telegram - évidents, bruyants et faciles à détecter. Mais les développeurs ont rapidement changé de cap, expérimentant des protocoles TCP personnalisés chiffrés avec ChaCha20, avant d’adopter une API REST de niveau production sur HTTPS. Cette dernière phase, routée via Cloudflare, permet à Torg Grabber de se fondre dans le trafic légitime et d’éviter la détection basée sur le réseau.

Le modèle de franchise du malware

Peut-être le plus inquiétant est l’approche “franchise” de Torg Grabber. Chaque copie du malware est associée à un opérateur criminel spécifique - souvent lié à des comptes Telegram russes - grâce à des variables d’environnement définies lors de l’infection. Cela signifie qu’une seule version du malware peut servir des dizaines de clients, chacun avec son propre tableau de bord de données volées, le tout géré via un backend transparent.

La furtivité avant tout

Les victimes ne voient presque jamais venir l’attaque. Les chaînes d’infection sont sans fichier, utilisant des leurres trompeurs et des charges utiles en mémoire uniquement pour contourner presque toutes les défenses antivirus classiques. Un chargeur réflexif décompresse le stealer principal directement en mémoire système, sans laisser de trace sur le disque.

Le tour le plus dangereux de Torg Grabber ? Déjouer l’App-Bound Encryption (ABE) de Google Chrome, une fonctionnalité censée verrouiller les données du navigateur à l’application elle-même. En injectant une petite DLL personnalisée et en manipulant les composants internes de Windows, le malware extrait la clé maîtresse AES-256 de Chrome - déverrouillant non seulement les mots de passe, mais aussi les cookies et les données sensibles de centaines d’extensions de navigateur.

Conclusion : le nouveau visage du cybercrime

Torg Grabber est bien plus qu’un stealer de plus - c’est un aperçu du futur du cybercrime industrialisé. Avec une infrastructure prête à la franchise, des cycles de développement rapides et des techniques d’évasion avancées, il oblige les défenseurs à repenser ce que signifie “l’état de l’art” en matière de malware. Pour l’instant, la vigilance et la défense en profondeur restent les seuls remparts contre cette nouvelle génération de prédateurs numériques.

WIKICROOK

  • Malware : Un malware est un logiciel malveillant conçu pour s’infiltrer, endommager ou voler des données sur des appareils informatiques sans le consentement de l’utilisateur.
  • REST API : Une API REST est un ensemble de règles permettant à différents systèmes logiciels de communiquer sur Internet, agissant comme un traducteur entre sites web et applications.
  • ChaCha20 : ChaCha20 est un algorithme de chiffrement rapide et sécurisé qui brouille les données pour les protéger contre tout accès non autorisé, largement utilisé en cybersécurité moderne.
  • Reflective Loader : Un chargeur réflexif charge et exécute du code en mémoire sans accès au disque, souvent utilisé pour échapper à la détection des outils de sécurité.
  • App : Une app est un programme informatique qui effectue des tâches spécifiques sur des appareils numériques. Des fonctionnalités de sécurité comme le chiffrement lié à l’application aident à protéger les données contre tout accès non autorisé.
Torg Grabber Malware-as-a-Service Cybercrime
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news