Microsoft alerte sur un malware de copier-coller Windows se propageant par clé USB
Microsoft a identifié une campagne malveillante de malware Clipper pour Windows, active depuis février 2026. La menace combine l’hébergement Windows Script Host et la logique ActiveX pour déployer un proxy Tor intégré et communiquer avec un serveur de commande caché.
Une chaîne d’infection furtive via supports amovibles
La campagne se propage principalement par des vers LNK USB, qui incitent les utilisateurs à cliquer sur des raccourcis malveillants. Une fois exécuté, le malware Clipper remplace les adresses de portefeuilles de cryptomonnaies copiées dans le presse-papiers par celles contrôlées par l’attaquant, détournant ainsi les fonds en silence. Microsoft souligne l’utilisation de composants Windows légitimes comme WScript et VBScript pour assurer la persistance et échapper à la détection.
Une infrastructure basée sur Tor renforce l’anonymat
Plutôt que de se connecter directement à un serveur distant, le malware s’appuie sur un proxy Tor intégré pour atteindre son infrastructure de commande via un service caché. Cette méthode complique le traçage du trafic ou le blocage du serveur, car les communications transitent par le réseau d’anonymat. L’analyse de Microsoft révèle comment les attaquants exploitent de plus en plus Tor pour masquer leurs activités et prolonger leurs campagnes.
Mesures de protection pour utilisateurs et organisations
Microsoft recommande de mettre à jour les systèmes Windows et d’activer Defender pour point de terminaison afin de détecter et bloquer ces menaces. Les utilisateurs doivent éviter d’ouvrir des clés USB ou des fichiers raccourcis inconnus, et vérifier les adresses de portefeuille avant de les coller. Les organisations peuvent envisager de désactiver Windows Script Host et ActiveX si nécessaire, tout en déployant une protection des points de terminaison surveillant les modifications non autorisées du presse-papiers.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.