Microsoft a signalé l'existence d'un logiciel malveillant qui se propage via des clés USB et utilise des fichiers de raccourci Windows pour infecter les appareils. Ce logiciel malveillant, baptisé « clipper », recherche les adresses de cryptomonnaie dans le presse-papiers et les remplace par d'autres adresses contrôlées par les pirates.
Microsoft met en garde contre un nouveau logiciel malveillant diffusé via des clés USB et ciblant les utilisateurs de cryptomonnaies
ÉCRIT PAR
PARTAGER
Points clés
- Microsoft Defender a détecté un nouveau logiciel malveillant USB qui expose les transactions Bitcoin au vol.
- Le script vole des phrases de récupération de 12 ou 24 mots, menaçant ainsi la sécurité des portefeuilles Tron et Monero.
- Microsoft recommande ensuite aux utilisateurs de bloquer les raccourcis afin d’empêcher le logiciel malveillant de se propager via les clés USB.
Microsoft met en garde contre un malware Windows qui modifie les adresses de cryptomonnaies
L'équipe derrière Microsoft Defender, l'outil de sécurité intégré à Windows contre les logiciels malveillants et les virus, a mis en garde contre une nouvelle menace qui utilise des raccourcis pour infecter les appareils, principalement via des clés USB.
Le logiciel malveillant remplace les fichiers présents sur les supports de stockage amovibles par des raccourcis (fichiers .lnk) qui déclenchent l’infection lorsqu’ils sont exécutés ; il met en place des contre-mesures pour éviter d’éventuelles analyses et suppressions par les logiciels antivirus, et utilise une communication anonymisée via le réseau Tor pour échapper à la détection.
Parallèlement, le logiciel malveillant se propage en se copiant sur toute clé USB insérée dans un ordinateur infecté. Il exécute également un processus capable d’effectuer diverses tâches, notamment la modification des adresses copiées par les utilisateurs dans le presse-papiers de l’appareil infecté.
Le logiciel malveillant, qui s’exécute en continu sur l’appareil affecté, analyse la mémoire à la recherche de ce que Microsoft appelle des « artefacts financiers de grande valeur » : il détecte les phrases de départ BIP39 de 12 ou 24 mots dans les données du presse-papiers et les envoie aux attaquants, accompagnées de cinq captures d’écran fournissant des informations contextuelles sur le contenu du portefeuille et les fonds qu’il contient.
De plus, le « crypto clipper » analyse la mémoire toutes les 500 millisecondes à la recherche d’adresses de projets cryptographiques populaires, notamment Bitcoin, Tron et Monero.
S’il en trouve, il part du principe que l’utilisateur est en train de les copier pour effectuer une transaction et les remplace par une adresse similaire, mais contrôlée par le pirate, afin de s’emparer des fonds envoyés par les utilisateurs depuis l’appareil infecté.
« Cette famille de logiciels malveillants montre à quel point des voleurs de données légers, basés sur des scripts, peuvent avoir un impact démesuré lorsqu’ils sont associés à des communications anonymisées et à l’exécution de tâches en temps réel », a souligné l’équipe Microsoft Defender.
Pour limiter les infections, l’équipe recommande de désactiver l’exécution automatique du contenu sur tous les supports amovibles et de bloquer l’exécution des raccourcis provenant de ces supports, qui ont été identifiés comme les principaux vecteurs de propagation du logiciel malveillant.
Cet article a été traduit de l'anglais à l'aide de l'IA. La version originale en anglais fait foi ; les traductions automatiques peuvent contenir des inexactitudes, en particulier dans la terminologie juridique et réglementaire.
