Les attaques les plus gênantes ne sont pas forcément les plus sophistiquées. Microsoft en donne un nouvel exemple avec un « clipper », un malware conçu pour surveiller le presse-papiers de Windows. C’est là que se retrouve, temporairement, tout ce que l’on copie : un bout de texte, une adresse web… ou une adresse de portefeuille crypto.
La clé USB, vieux piège toujours efficace
Dans le monde des cryptomonnaies, ce détail peut coûter cher. Quand un utilisateur copie une adresse de wallet pour effectuer un transfert, le malware peut la repérer, puis la remplacer par une adresse contrôlée par les attaquants. Si la victime ne vérifie pas attentivement avant de valider, les fonds partent au mauvais endroit. Et dans la crypto, le bouton « annuler » n’est généralement pas fourni.
D’après Microsoft, la campagne est active depuis février 2026. Le point d’entrée passe par des fichiers « .lnk », les raccourcis Windows, distribués sur des clés USB. Le malware cherche des documents courants — PDF, fichiers Word, feuilles Excel — masque les originaux, puis crée à leur place des raccourcis portant les mêmes noms. Pour l’utilisateur, tout paraît normal : il clique sur ce qu’il pense être un document. En réalité, il lance le malware. Celui-ci installe ensuite plusieurs composants, dont des scripts JavaScript, dans un dossier public de Windows. Il crée aussi des tâches planifiées pour se relancer automatiquement et tenter de contaminer d’autres clés USB branchées plus tard.
Une fois installé, le malware surveille le presse-papiers environ toutes les 500 millisecondes. Il cherche des adresses de portefeuilles, mais aussi des données plus sensibles : phrases de récupération de 12 ou 24 mots, clés privées Bitcoin ou Ethereum. Ces informations peuvent ensuite être envoyées aux attaquants.
Autre particularité : le malware embarque un client Tor portable, renommé « ugate.exe ». Il s’en sert pour communiquer avec ses serveurs cachés en « .onion », via un proxy local sur le port 9050. Dit autrement : il complique le travail des outils de sécurité, qui ne voient pas une connexion classique vers un serveur facilement identifiable.
Les conseils de Microsoft sont très concrets : désactiver AutoRun et AutoPlay pour les supports amovibles, bloquer les raccourcis « .lnk » lancés depuis une clé USB, limiter l’usage de WScript et CScript, et surveiller les comportements suspects comme l’usage de « localhost:9050 » ou de scripts qui lancent PowerShell, curl ou cmd.exe. Pour les utilisateurs, la règle est simple : éviter les clés USB inconnues, se méfier des raccourcis déguisés en documents, et vérifier soigneusement les adresses de wallets avant toute transaction.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.