Du piratage de portefeuille au contrôle à distance : Microsoft dévoile une nouvelle vague de logiciels malveillants cryptographiques ciblant les utilisateurs Windows | Metaverse Post

En Bref

Microsoft découvre une campagne de clipper crypto sur Windows utilisant une infrastructure basée sur Tor pour voler des identifiants de portefeuille, détourner des transactions et maintenir un accès à distance.

La société technologique Microsoft a signalé la découverte d'une campagne de malware clipper de cryptomonnaie basée sur Windows qui cible les utilisateurs depuis février 2026. La menace, identifiée par Microsoft Threat Intelligence et Microsoft Defender Experts, combine le vol du presse-papiers, la ciblage de portefeuilles de cryptomonnaie, et des capacités d'accès à distance pour voler des actifs numériques et maintenir le contrôle sur les systèmes compromis.

Le malware est conçu pour intercepter des informations sensibles liées à la cryptomonnaie, y compris les adresses de portefeuille, les phrases de récupération, et les clés privées. Microsoft a indiqué que la menace se propage principalement via des fichiers de raccourci malveillants (.lnk) distribués via des clés USB amovibles. Une fois activé, le malware déploie des composants supplémentaires qui permettent la persistance, la collecte de données, et la communication avec une infrastructure contrôlée par l'attaquant.

Contrairement aux campagnes de malware traditionnelles qui dépendent de serveurs de commande et de contrôle visibles, cette campagne utilise un proxy Tor intégré pour dissimuler l'activité réseau. Le malware lance un client Tor portable via Windows Script Host et des scripts basés sur ActiveX, routant les communications à travers un proxy SOCKS5 local avant de se connecter à des serveurs de services cachés. Cette approche réduit la visibilité et permet aux attaquants de maintenir un accès anonyme aux appareils infectés.

L'attaque combine deux fonctions principales : un composant de propagation qui se répand via des fichiers infectés et des médias amovibles, et un composant clipper-volleur axé sur le vol de cryptomonnaie. Le malware peut créer des raccourcis malveillants qui semblent faire référence à des documents légitimes, incitant les utilisateurs à exécuter involontairement du code nuisible. Il crée également des tâches planifiées pour maintenir la persistance et continuer à fonctionner après le redémarrage du système.

Une nouvelle génération d'infrastructures de vol de crypto

Le malware démontre une évolution vers des menaces légères, basées sur des scripts, combinant le vol financier avec des capacités de porte dérobée plus larges. Après infection, le malware surveille en continu l'activité du presse-papiers, recherchant des données liées à la cryptomonnaie. Lorsque les utilisateurs copient des adresses de portefeuille, le malware peut les remplacer par des adresses contrôlées par l'attaquant, redirigeant ainsi les transactions sans que la victime ne s'en aperçoive immédiatement.

La menace recherche également des clés privées liées à Bitcoin et Ethereum, ainsi que des phrases de récupération BIP39, couramment utilisées pour restaurer des portefeuilles de cryptomonnaie. Les informations capturées sont transmises aux attaquants via des canaux basés sur Tor, tandis que des captures d'écran sont collectées pour fournir un contexte supplémentaire sur l'activité du portefeuille et les soldes de comptes.

Microsoft a souligné que le malware inclut des capacités d'exécution de commandes à distance, permettant aux attaquants d'envoyer des instructions et d'exécuter du code supplémentaire sur les systèmes infectés. Cela étend la menace d'un simple clipper crypto à un outil flexible capable de soutenir d'autres activités malveillantes.

Les chercheurs en sécurité ont noté que la campagne repose fortement sur des indicateurs comportementaux plutôt que sur une détection basée sur des fichiers traditionnels. Les activités suspectes incluent le lancement inattendu de processus par des moteurs de script, la manipulation d'adresses de cryptomonnaie, la capture d'écran via PowerShell, et des connexions inhabituelles au proxy Tor via le port localhost 9050.

Microsoft Defender Antivirus détecte les composants liés de la famille de malware sous la désignation Trojan:Win32/CryptoBandits.A, tandis que Microsoft Defender for Endpoint fournit des détections comportementales supplémentaires pour des activités scriptées suspectes, des tentatives d'exfiltration de données, et des exécutions de processus anormales.

Microsoft a conseillé aux organisations de renforcer leurs défenses contre les menaces liées aux médias amovibles, de limiter l'exécution de scripts inutiles, de surveiller toute activité suspecte de proxy, et d'appliquer des contrôles de sécurité contre les scripts obfusqués. La société a également recommandé de revoir le comportement de surveillance du presse-papiers et d'enquêter sur les systèmes où des outils de script interagissent avec des utilitaires de communication réseau.

La découverte met en évidence la sophistication croissante des malwares ciblant la cryptomonnaie, avec des attaquants combinant de plus en plus des techniques automatisées de vol de portefeuille, des systèmes de communication anonymes, et des mécanismes d'accès persistants. Alors que les actifs numériques continuent à s'intégrer davantage dans l'activité financière, les équipes de sécurité devraient accorder une attention accrue à la protection des identifiants de portefeuille et à la surveillance des comportements liés aux menaces ciblant la crypto.