USB worm spreads crypto-stealing malware via Windows shortcut files

1 minute de lecture

Mis à jour : June 18, 2026

Propagation par USB : Un ver voleur de cryptomonnaies

Une campagne malveillante active depuis février utilise des raccourcis Windows (.LNK) sur des supports USB pour infecter les systèmes et dérober des actifs numériques. Le logiciel malveillant agit comme un ver informatique, se propageant automatiquement lors de la connexion de périphériques amovibles et remplaçant les documents légitimes par des raccourcis malveillants.

Points clés :

Vol de données : Surveillance permanente du presse-papier pour intercepter des adresses de portefeuilles, des clés privées et des phrases de récupération (seed phrases) BIP39.
Manipulation : Remplacement automatique des adresses de destination par celles des attaquants pour détourner les transactions.
Exfiltration : Capture d’écran régulière et exécution de code à distance (RCE) via des instructions envoyées par un serveur de commande (C2) transitant par le réseau Tor.
Persistance : Utilisation de tâches planifiées pour infecter tout nouveau support USB connecté.

Vulnérabilités :

Le vecteur d’attaque repose sur l’exploitation de l’exécution automatique de fichiers raccourcis (.LNK) et sur le comportement par défaut de Windows qui facilite la propagation via les supports amovibles. Aucune CVE spécifique n’est mentionnée, car la menace exploite le fonctionnement légitime des raccourcis système.

Recommandations :

Surveillance comportementale : Surveiller les processus suspects tels que wscript.exe, cscript.exe, curl.exe, ainsi que les appels inhabituels à PowerShell ou cmd.exe.
Analyse réseau : Bloquer ou auditer les connexions vers le port localhost:9050 et détecter toute activité liée au proxy Tor au sein du réseau.
Hygiène informatique : Désactiver l’exécution automatique des périphériques amovibles et faire preuve de vigilance face aux fichiers raccourcis inattendus sur les clés USB.
Détection : Privilégier les indicateurs comportementaux plutôt que la simple détection par signature, souvent inefficace face à ces techniques.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

USB worm spreads crypto-stealing malware via Windows shortcut files

Propagation par USB : Un ver voleur de cryptomonnaies

Partager sur

Vous pourriez aimer

New Prinz Eugen ransomware prioritizes recent files for encryption

Prinz Eugen : Un ransomware tactique axé sur les fichiers récents

Microsoft links Mastra AI supply chain attack to North Korean hackers

Attaque de la chaîne d’approvisionnement npm : Le groupe Sapphire Sleet visé

Klue OAuth breach victim list grows as Icarus hackers claim attack

Compromission de Klue : Vol de données Salesforce par le groupe Icarus

Hackers exploit info disclosure bug in Gravity SMTP WordPress plugin

Vulnérabilités critiques dans les extensions WordPress : Gravity SMTP et Avada Builder