Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Microsoft Details Windows Clipper Malware Campaign Using USB LNK Worm and Tor-Based C2

1 minute de lecture

Mis à jour :

Campagne de malware « Clipper » : Propagation via USB et vol de cryptomonnaies

Microsoft a identifié une campagne active de logiciels malveillants de type « clipper » ciblant les utilisateurs Windows. Ce malware détourne les transactions en cryptomonnaies en remplaçant les adresses de portefeuilles copiées dans le presse-papiers par celles des attaquants.

Points clés :

  • Propagation : Le malware utilise des fichiers de raccourcis (.LNK) malveillants sur des périphériques USB. Lorsqu’un utilisateur ouvre un document, le malware s’exécute, masque les fichiers originaux et propage un composant « ver » sur d’autres clés USB.
  • Fonctionnement : Il exploite Windows Script Host et ActiveX pour lancer un client Tor portable, créant un proxy SOCKS5 local pour communiquer avec un serveur de commande et contrôle (C2) masqué.
  • Persistance et évasion : Le malware crée des tâches planifiées pour persister sur le système et détecte la présence du Gestionnaire des tâches pour suspendre ses activités et éviter toute détection.
  • Capacités : Outre le remplacement d’adresses de portefeuille, il capture des captures d’écran, extrait des phrases secrètes (seed phrases) et possède une fonctionnalité de porte dérobée permettant l’exécution de code arbitraire à distance.

Vulnérabilités : Aucune CVE spécifique n’est mentionnée, car cette menace repose sur l’abus de fonctionnalités légitimes de Windows (fichiers .LNK, WScript, ActiveX et script engines) pour mener ses activités malveillantes.

Recommandations :

  • Durcissement du système : Désactiver l’AutoRun/AutoPlay pour les supports amovibles et restreindre l’exécution des fichiers .LNK depuis des clés USB via des GPO (objets de stratégie de groupe).
  • Contrôle des scripts : Restreindre l’utilisation inutile de wscript.exe et cscript.exe.
  • Surveillance comportementale : Prioriser les détections basées sur le comportement plutôt que sur les signatures statiques. Surveiller spécifiquement les processus utilisant WScript ou PowerShell pour effectuer des captures d’écran, lancer curl ou appeler des exécutables inattendus.
  • Audit : Examiner les comportements liés au presse-papiers et à la capture d’écran sur les terminaux traitant des transactions financières sensibles.

Source

Vous pourriez aimer