Campagne d'attaque Crypto Clipper Windows
Des chercheurs en sécurité ont révélé les détails d'une opération sophistiquée de vol de cryptomonnaie sous Windows, active depuis février 2026. Cette campagne utilise un logiciel malveillant de surveillance du presse-papiers capable de se propager de lui-même et exploite le réseau d'anonymat Tor pour dissimuler son infrastructure de communication.
Contrairement aux opérations de logiciels malveillants classiques qui s'appuient sur des installateurs standard ou des serveurs de commande et de contrôle (C2) exposés publiquement, cette menace déploie un client Tor portable et achemine tout le trafic via un proxy SOCKS5 local. En combinant le vol de cryptomonnaies, l'exfiltration de données et l'exécution de code à distance, ce logiciel malveillant fonctionne non seulement comme un outil de piratage, mais aussi comme une porte dérobée légère.
Table des matières
Comment fonctionne le logiciel malveillant Clipper
Le logiciel malveillant Clipper est conçu pour surveiller discrètement l'activité du presse-papiers de la victime et intercepter les informations sensibles copiées en mémoire. Son objectif principal est de manipuler les transactions de cryptomonnaies en identifiant les adresses de portefeuilles associées à des formats de blockchain connus et en les remplaçant par des alternatives contrôlées par l'attaquant. Ainsi, les fonds destinés à des destinataires légitimes peuvent être détournés à l'insu de la victime.
Cette campagne exploite Windows Script Host et les fonctionnalités ActiveX pour lancer un proxy Tor intégré et communiquer avec un serveur C2 dissimulé. Le logiciel malveillant surveille en permanence le contenu du presse-papiers, capture des captures d'écran, vole des informations relatives aux cryptomonnaies et modifie en temps réel les adresses des portefeuilles.
Chaîne d’infection et fonctionnalité de ver basées sur USB
L'attaque débute par la distribution de fichiers de raccourcis Windows (LNK) malveillants via des périphériques de stockage USB amovibles. Lorsqu'une victime ouvre l'un de ces raccourcis, un ver informatique s'active. Le logiciel malveillant vérifie d'abord si le système est déjà infecté et ne télécharge le reste de sa charge utile que si aucune infection antérieure n'est détectée.
Le logiciel malveillant LNK recherche activement sur les périphériques USB connectés les formats de documents courants, tels que DOC, XLSX et PDF. Une fois détectés, ces fichiers sont dissimulés et remplacés par des raccourcis malveillants portant le même nom. Cette technique trompeuse augmente la probabilité que les utilisateurs exécutent involontairement le logiciel malveillant en tentant d'ouvrir un document qui semble légitime.
Au-delà de la compromission initiale, le ver est responsable de la propagation de l'infection à d'autres périphériques USB non infectés. Il assure également sa persistance en créant des tâches planifiées pour le ver et les composants voleurs de données.
Évasion avancée et exécution de commandes persistantes
Le composant « clipper » utilise WScript et ActiveXObject pour interagir directement avec le système d'exploitation. Afin de limiter les risques de détection, le logiciel malveillant vérifie les processus actifs et s'arrête automatiquement si le Gestionnaire des tâches est en cours d'exécution.
Lors de la phase finale d'exécution, un binaire Tor renommé est lancé dans une fenêtre cachée. Le logiciel malveillant génère alors un identifiant unique pour la victime et l'enregistre auprès de son infrastructure distante. Une fois enregistré, il entre dans une boucle opérationnelle continue, interrogeant le serveur C2 pour obtenir des commandes tout en surveillant le contenu du presse-papiers environ toutes les 500 millisecondes.
Outre la collecte de données de portefeuilles de cryptomonnaies, de phrases de récupération et de clés privées, le logiciel malveillant capture des captures d'écran et les transfère via le réseau Tor. Si le serveur de commande et de contrôle (C2) répond par une commande EVAL, du code fourni par l'attaquant est exécuté dynamiquement sur le système compromis, ce qui accroît considérablement les capacités de la menace.
Indicateurs clés et recommandations défensives
Il est conseillé aux équipes de sécurité de privilégier les techniques de détection comportementale plutôt que de se fier uniquement aux signatures statiques de logiciels malveillants. Une attention particulière doit être portée aux activités suspectes de capture d'écran via PowerShell et à l'utilisation inhabituelle de moteurs de script Windows tels que WScript ou CScript pour lancer des utilitaires comme curl, cmd.exe, PowerShell ou d'autres exécutables inattendus.
Les mesures défensives recommandées comprennent :
- Désactivation des fonctionnalités AutoRun et AutoPlay pour tous les supports amovibles, blocage de l'exécution des fichiers LNK à partir de périphériques USB via les objets de stratégie de groupe (GPO) et limitation de l'utilisation inutile de wscript.exe et cscript.exe.
- Surveiller les systèmes gérant les opérations financières ou liées aux cryptomonnaies afin de détecter toute activité anormale du presse-papiers, tout comportement non autorisé de capture d'écran et toute communication réseau suspecte liée à Tor.
Pourquoi cette menace se distingue
Cette campagne illustre la sophistication croissante des logiciels malveillants à visée financière. En combinant la propagation de vers via USB, le détournement de presse-papiers, les communications chiffrées par Tor, l'exfiltration de captures d'écran et l'exécution de code à distance au sein d'une même boîte à outils, les opérateurs ont créé une menace polyvalente capable à la fois de voler des cryptomonnaies et de maintenir un accès prolongé aux systèmes infectés. L'utilisation d'une infrastructure de services cachés complexifie davantage la détection et la neutralisation, faisant de la surveillance comportementale proactive une stratégie de défense essentielle.
