En février 2026, Microsoft Threat Intelligence et Microsoft Defender Experts ont découvert une attaque de type "crypto clipper". Il s'agissait d'une campagne construite sur Windows. Le logiciel malveillant exploite les détenteurs de cryptomonnaies via le détournement du presse-papiers et recherche des informations sensibles sur les portefeuilles. Ces informations ont été rapportées par Microsoft via leur blog.
Les attaquants propagent principalement ce logiciel malveillant via des fichiers de raccourci .lnk malveillants distribués sur des clés USB. L'activation de ce code malveillant entraîne le déploiement de deux modules par le malware. Un module propage le logiciel malveillant à travers les systèmes, tandis que l'autre agit comme un "clipper" et un voleur d'informations. Microsoft Defender Antivirus identifie cette menace sous le nom de Trojan/CryptoBandits.A.
Contrairement à la plupart des opérations de logiciels malveillants, celle-ci ne nécessite pas l'utilisation d'un programme d'installation ou de serveurs de contrôle, car elle utilise le Windows Script Host et la technologie ActiveX pour lancer un proxy Tor empaqueté. Elle utilise ensuite un proxy SOCKS5 sur l'ordinateur infecté, puis se connecte aux serveurs de contrôle, qui fonctionnent sur un service caché Tor.
Le malware subtilise les informations des portefeuilles et échange les adresses
Après l'infection du système, le logiciel malveillant surveille constamment le contenu du presse-papiers et recherche des phrases de récupération, des clés privées et des adresses de portefeuille. Selon Microsoft, le logiciel malveillant cible précisément les phrases de récupération de 12 et 24 mots, les clés privées Bitcoin et les clés privées Ethereum. Il remplace les adresses de portefeuille copiées par celles contrôlées par les attaquants avant que les utilisateurs ne terminent leurs transactions.
Le malware prend des captures d'écran et les envoie via des connexions Tor, ce qui permet aux attaquants d'obtenir plus d'informations sur les soldes et les activités des utilisateurs. De plus, Microsoft a déclaré que le logiciel malveillant dispose de la capacité d'exécuter du code à distance, offrant ainsi aux attaquants la possibilité d'envoyer des instructions supplémentaires tout en assurant sa persistance grâce à l'utilisation de tâches planifiées et au chiffrement de parties malveillantes du malware.
Les chercheurs ont identifié plusieurs indicateurs de compromission, notamment l'exécution suspecte de JavaScript, l'activité proxy sur localhost:9050, la capture d'écran basée sur PowerShell et le comportement de surveillance du presse-papiers. Microsoft a recommandé aux organisations de désactiver les fonctionnalités d'exécution automatique, de limiter les interpréteurs de scripts et les raccourcis exécutables provenant de clés USB, et de surveiller toute activité suspecte liée à cela. Cette campagne de logiciels malveillants souligne la croissance continue de l'utilisation des cryptomonnaies parmi les investisseurs et les utilisateurs.
Actualité cryptographique en vedette :
La Fondation Ethereum fait face à un nouveau départ alors que Hsiao-Wei Wang démissionne
