Microsoft met en garde contre CryptoBandits.A, un outil Windows basé sur Tor qui vole les données du portefeuille et détourne les transferts cryptographiques.
Microsoft a mis en garde contre un système basé sur WindowscryptoClipper conçu pour voler les données du portefeuille et modifier les transferts cryptographiques.
Le malware affecte les utilisateurs depuis février 2026, selon Microsoft Threat Intelligence et Microsoft Defender Experts.
La campagne utilise des raccourcis .lnk et des clés USB malveillants pour se propager sur les appareils Windows compromis.
Microsoft Defender Antivirus détecte la menace sous le nom de Trojan:Win32/CryptoBandits.A, tandis que Defender for Endpoint signale l’activité associée.
Un logiciel malveillant utilise Tor pour masquer les serveurs de commandes
Microsoft a déclaré que le logiciel malveillant se lance via Windows Script Host et des commandes basées sur ActiveX après qu’un utilisateur ouvre un raccourci malveillant.
Le script démarre ensuite un fichier Tor renommé appelé ugate.exe dans une fenêtre cachée. Après le chargement de Tor, le malware contacte les serveurs de commandes de services cachés via un proxy local.
Cette méthode évite l’utilisation d’une infrastructure de commande basée sur IP exposée, ce qui rend le suivi plus difficile pour les défenseurs.
Le malware achemine le trafic via localhost:9050, qui est généralement lié à l’activité du proxy Tor SOCKS5. Microsoft a décrit ce comportement comme un signal d’alarme fort pour les équipes de sécurité.
Microsoft met en garde contre le ciblage des données de portefeuille par Crypto Clipper basé sur Tor
Les experts Microsoft Threat Intelligence et Microsoft Defender ont déclaré avoir identifié un crypto-clipper basé sur Windows qui affecte les utilisateurs depuis février 2026. Le malware se propage via des raccourcis .lnk malveillants et…pic.twitter.com/tDZ6CNg322
-Wu Blockchain (@WuBlockchain)19 juin 2026
Le clipper crée également un identifiant de victime avant d’enregistrer l’appareil infecté auprès de son serveur de commandes.
Cette connexion permet à l’attaquant d’envoyer des instructions et de recevoir des données volées. En conséquence, l’outil fonctionne à la fois comme un voleur de crypto et comme une petite porte dérobée d’accès à distance.
Clipper cible les adresses et les clés du portefeuille
Le malware surveille l’activité du presse-papiers à un rythme élevé pour trouveradresses de portefeuille cryptoet d’autres données précieuses.
Lorsqu’un utilisateur copie une adresse de portefeuille, le clipper peut la remplacer par une adresse contrôlée par un attaquant. Cela peut rediriger un transfert avant que l’utilisateur ne remarque le changement.
Microsoft a déclaré que le malware peut également voler des phrases de départ, des clés privées et d’autres informations liées au portefeuille.
Ces détails peuvent permettre aux attaquants d’accéder aux fonds stockés dans les portefeuilles cryptographiques concernés. Le malware peut également prendre des captures d’écran et les envoyer à son serveur de commandes.
La menace inclut une vérification anti-analyse qui recherche le Gestionnaire des tâches sur le système infecté.
Lorsque le Gestionnaire des tâches est détecté, le script peut cesser de s’exécuter pour éviter tout examen. Cette fonctionnalité peut rendre les investigations manuelles plus difficiles lors des premières vérifications.
Lire aussi :
La propagation USB augmente les risques pour l’entreprise
Microsoft a déclaré que la campagne comprend unvercomposant qui aide les logiciels malveillants à se propager via des appareils compromis.
Le ver crée des raccourcis malveillants qui imitent les fichiers légitimes trouvés sur le système. Il peut également utiliser des clés USB pour se déplacer entre les machines.
Le malware ajoute des tâches planifiées pour maintenir l’exécution et la persistance après l’infection.
Il fournit également des charges utiles basées sur des fichiers et tente de les exclure de l’analyse Defender. Ces étapes aident le logiciel malveillant à rester actif après le redémarrage de l’appareil.
Pour les défenseurs, Microsoft a souligné les signaux basés sur le comportement comme la voie de détection la plus claire.
Il s’agit notamment des interprètes de script qui génèrent des processus enfants inhabituels etPowerShellcommandes liées à la capture d’écran.
L’inspection du presse-papiers, le remplacement des adresses cryptographiques, l’exfiltration basée sur Curl et l’utilisation du proxy Tor sont également des signes clés.
L’avertissement survient alors que les utilisateurs de crypto continuent de s’appuyer sur des adresses de portefeuille copiées pour les transferts.
Microsoft a attiré l’attention sur le comportement des points de terminaison, les lecteurs amovibles et les activités de raccourci suspectes.
La campagne montre comment les transferts de portefeuille peuvent être détournés via les fonctionnalités Windows courantes et les actions des utilisateurs.
Source : Live Bitcoin News
Laisser un commentaire