Windows Alert ! LâĂ©quipe de recherche en sĂ©curitĂ© de Microsoft vient de rĂ©vĂ©ler les dĂ©tails dâune campagne de cyberattaque active depuis fĂ©vrier 2026, ciblant les utilisateurs du systĂšme dâexploitation Windows. Ce programme malveillant utilise un logiciel de type « clipper » pour intercepter le presse-papiers des victimes, tout en intĂ©grant des capacitĂ©s de propagation autonome par support amovible. Lâinfrastructure dâattaque sâappuie sur le rĂ©seau dâanonymisation Tor pour dissimuler ses communications avec le serveur de commandement et de contrĂŽle. Cette double fonction de vol financier et de porte dĂ©robĂ©e montre une sophistication notable dans les mĂ©thodes employĂ©es par les cybercriminels pour contourner les outils de dĂ©tection traditionnels.
- Microsoft a révélé une cyberattaque ciblant Windows depuis 2026, utilisant un logiciel de type « clipper » pour intercepter le presse-papiers des victimes.
- Le programme malveillant se propage via des supports amovibles et utilise le réseau Tor pour cacher ses communications, rendant les détections traditionnelles inefficaces.

MĂ©canisme dâinfection et propagation par support amovible
Selon la presse spĂ©cialisĂ©e, les attaquants propagent le logiciel malveillant en injectant un fichier de raccourci Windows infectĂ© sur des clĂ©s USB. Lorsque lâutilisateur connecte le support, un module de type « ver » vĂ©rifie la prĂ©sence dâune infection antĂ©rieure avant de tĂ©lĂ©charger la charge utile principale.
Pour maximiser sa diffusion, le programme analyse le pĂ©riphĂ©rique amovible Ă la recherche de documents courants aux formats PDF, DOC ou XLSX, puis dissimule les fichiers originaux pour les remplacer par des raccourcis piĂ©gĂ©s portant le mĂȘme nom. Lâouverture de ces documents factices dĂ©clenche lâexĂ©cution invisible du code malveillant et assure la rĂ©plication du ver sur les nouveaux disques connectĂ©s.
Afin de maintenir sa prĂ©sence sur le systĂšme, le logiciel configure des tĂąches planifiĂ©es dans lâenvironnement Windows. Le composant principal utilise ensuite les scripts dâadministration Windows Script Host et des objets ActiveX pour interagir directement avec le systĂšme dâexploitation.
Le programme intĂšgre Ă©galement des fonctions dâĂ©vitement spĂ©cifiques, provoquant son arrĂȘt immĂ©diat si lâutilisateur ouvre le Gestionnaire des tĂąches. Cette capacitĂ© dâeffacement temporaire complique lâidentification de lâanomalie par les outils de surveillance classiques basĂ©s sur lâanalyse statique des processus en cours dâexĂ©cution.

Interception des données et exfiltration par le réseau Tor
Une fois installĂ©, le logiciel dĂ©ploie un client Tor portable configurĂ© sur un proxy local pour masquer lâadresse IP du serveur de contrĂŽle. Le programme gĂ©nĂšre un identifiant unique pour chaque victime avant dâentrer dans une boucle dâanalyse continue, inspectant le presse-papiers toutes les 500 millisecondes.
DĂšs quâun utilisateur copie une adresse de clĂ© de stockage numĂ©rique, lâalgorithme dĂ©tecte la structure de la chaĂźne de caractĂšres et la remplace par une adresse appartenant aux attaquants. Cette substitution modifie la destination finale des transactions lors des opĂ©rations de collage effectuĂ©es par la victime.
Au-delĂ de la manipulation des transactions, le logiciel extrait des captures dâĂ©cran rĂ©guliĂšres et recherche des phrases de rĂ©cupĂ©ration pour les envoyer vers le serveur distant. Le systĂšme permet aussi lâexĂ©cution de code Ă distance Ă la demande des attaquants, transformant le simple outil de vol en une passerelle dâaccĂšs permanent.
Pour contrer cette menace, les analystes de Microsoft recommandent de bloquer lâexĂ©cution des fichiers de raccourci depuis les mĂ©dias amovibles par le biais de stratĂ©gies de groupe (Group Policy Objects ou GPO en anglais). La surveillance comportementale des moteurs de script et la restriction de lâutilisation des utilitaires systĂšme standard demeurent indispensables pour protĂ©ger les postes de travail manipulant des flux financiers.
La dĂ©couverte de cette campagne informatique met en Ă©vidence le perfectionnement des techniques de dissimulation basĂ©es sur les outils natifs de Windows. La combinaison dâun module de rĂ©plication autonome et dâun routage des donnĂ©es par des rĂ©seaux anonymes complique le travail de rĂ©tro-ingĂ©nierie des Ă©quipes de sĂ©curitĂ©. Lâapplication rigoureuse des correctifs de configuration sur les ports de communication amovibles limite cependant lâefficacitĂ© de ces vecteurs dâattaque intersectoriels.

Lâarticle Copier-coller peut vous coĂ»ter cher : Ce malware Windows dĂ©tourne vos transactions crypto est apparu en premier sur Journal du Coin.















Stablecoins : 44 % â
Cryptos : 56 %
Suivez en temps rĂ©el lâĂ©volution complĂšte du portefeuille et les dĂ©cisions de Cara sur Steady Lads 