Les experts en cybersécurité de Microsoft Threat Intelligence et Microsoft Defender ont mis en lumière une campagne de malware ciblant les utilisateurs de cryptomonnaies sur Windows. Elle est active depuis au moins février 2026.
La menace utilise un programme conçu pour voler les données du presse-papiers (clipper). Elle se distingue par ses capacités de propagation de type ver et son utilisation du réseau Tor pour dissimuler ses communications.
Le malware est diffusé principalement par des fichiers raccourcis (.lnk) malveillants placés sur des périphériques de stockage USB.
Comment ce malware parvient-il à infecter un système et à se propager ?
L’infection initiale se produit lorsqu’un utilisateur ouvre un fichier .lnk malveillant sur une clé USB. Ce raccourci, souvent déguisé en document légitime (PDF, DOC, XLSX), exécute en réalité un composant de type ver.
Ce dernier scanne le périphérique USB à la recherche de fichiers de documents courants, les cache, et crée de nouveaux fichiers .lnk portant les mêmes noms pour piéger des utilisateurs.
Le ver établit sa persistance en créant des tâches planifiées. Une de ces tâches surveille l’insertion de nouvelles clés USB non compromises pour s’y copier et continuer sa propagation. Un autre tâche est responsable du lancement du composant voleur de données.
Une finalité de vol de cryptommonaies
Une fois actif, le composant » clipper » commence par vérifier si le Gestionnaire des Tâches est en cours d’exécution pour déjouer les analyses manuelles. Ensuite, il lance une version portable et renommée du client Tor (ugate.exe) dans une fenêtre cachée.
Dans son rapport, Microsoft parle d’une backdoor légère. Le malware surveille le presse-papiers toutes les 500 ms pour intercepter des phrases de récupération, des clés privées, et remplacer les adresses de portefeuilles (Bitcoin, Ethereum, Tron, Monero) par celles des attaquants.
Pour maximiser leurs chances, les adresses de remplacement sont choisies pour ressembler aux premières lettres de l’adresse originale.
Les mesures face à cette menace sophistiquée
Microsoft insiste sur le fait que la détection de cette menace repose davantage sur l’analyse comportementale que sur les signatures statiques. Les administrateurs doivent notamment surveiller les interpréteurs de scripts lançant des processus enfants suspects et l’utilisation du proxy local sur localhost:9050.
Microsoft Defender for Endpoint et Microsoft Defender Antivirus détectent plusieurs facettes de la menace, notamment sous le nom de Trojan:Win32/CryptoBandits.A.
Parmi les mesures d’atténuation recommandées, la désactivation de l’exécution automatique (AutoRun/AutoPlay) pour les supports amovibles, le blocage de l’exécution des fichiers .lnk depuis ces supports via une stratégie de groupe, la restriction de l’usage des interpréteurs de scripts comme wscript.exe et cscript.exe.