Un nouveau ver ciblant les portefeuilles de cryptomonnaies
Microsoft a identifié un logiciel malveillant inédit, capable de se propager de manière autonome par l'intermédiaire de clés USB tout en dérobant les informations d'authentification liées aux cryptomonnaies sur les machines infectées. Les données collectées sont ensuite exfiltrées vers des serveurs contrôlés par les attaquants en transitant par le réseau Tor, un protocole conçu pour anonymiser le trafic en le faisant passer par une succession de nœuds redondants, empêchant toute corrélation entre l'adresse IP d'origine et la destination. L'entreprise a baptisé cette menace « Crypto Clipper ».
Mécanisme de propagation et infection via les fichiers .lnk
Selon les analyses de l'éditeur, le ver se répand en déposant des fichiers de raccourci Windows (.lnk) sur les supports amovibles. Lorsqu'un utilisateur branche une clé USB infectée sur un ordinateur, le code malveillant exécute une vérification pour déterminer si l'attaquant est déjà présent sur le système. Si ce n'est pas le cas, le programme télécharge le reste de la charge utile via un proxy SOCKS5 local, lequel établit une connexion au réseau Tor. Pour passer inaperçu, le ver analyse le contenu de la clé USB et attribue aux fichiers .lnk des noms ressemblant à ceux des documents ou dossiers déjà présents.
Fonctionnement du clipper : vol de portefeuilles et capture d'écran
Une fois actif, Crypto Clipper surveille en permanence le contenu du presse-papiers de la machine victime. Il recherche des chaînes de caractères correspondant à des adresses de portefeuilles ou à des phrases de récupération (seed phrases) standardisées de 12 ou 24 mots. Dès qu'il en détecte une, le logiciel capture également cinq captures d'écran sur une période de dix secondes, vraisemblablement pour fournir aux opérateurs un contexte utile. Les informations ainsi récoltées sont envoyées au serveur distant par Tor. Par ailleurs, le clipper est programmé pour remplacer, dans le presse-papiers, les adresses de portefeuilles légitimes par celles contrôlées par les pirates, détournant ainsi les futures transactions vers leurs comptes.
Une infrastructure de commande et de contrôle discrète
L'éditeur de sécurité souligne la particularité technique de ce logiciel malveillant : il n'utilise pas d'installateur classique ni d'infrastructure de commande et de contrôle (C2) exposée par une adresse IP directe. « L'exécution de ce clipper est remarquable car elle ne dépend pas d'un installateur traditionnel ou d'une infrastructure C2 sur IP publique », a expliqué Microsoft. À la place, le maliciel déploie un client Tor portable, achemine tout le trafic via un proxy SOCKS5 local, et combine le vol de données avec des capacités d'exécution de code à distance. Cette architecture transforme un voleur à motivation financière en une porte dérobée légère, offrant aux attaquants à la fois des voies de monétisation immédiates et un contrôle continu sur les appareils compromis.
Détection et prévention
Microsoft Defender for Endpoint identifie les composants de Crypto Clipper en les signalant comme des processus JavaScript suspects ainsi que comme des exfiltrations potentielles de données via l'outil Curl. Pour sa part, l'antivirus Microsoft Defender reconnaît la menace sous le nom de « Trojan: Win32/CryptoBandits.A ». Les signes les plus courants d'une infection sont l'apparition de processus enfants suspects générés par des interpréteurs de scripts, l'utilisation d'un proxy sur le port localhost:9050 (port par défaut de Tor), ou encore l'exécution de programmes de capture d'écran.
Implications pour la sécurité des utilisateurs
Cette campagne illustre, selon Microsoft, comment des voleurs légers fondés sur des scripts peuvent avoir un impact disproportionné lorsqu'ils sont associés à des communications anonymisées et à des tâches exécutées en temps réel. Les autorités recommandent aux utilisateurs de faire preuve de prudence avant d'insérer une clé USB inconnue et de maintenir leurs solutions de sécurité à jour.
