🔍 Contexte
Publié le 9 avril 2026 par Oleg Kupreev sur Securelist (Kaspersky), cet article décrit une campagne active depuis début 2025 distribuant le malware ClipBanker via un faux installeur du logiciel Proxifier, hébergé sur GitHub et promu via les moteurs de recherche.
🎯 Vecteur d’infection initial
Les victimes recherchent « Proxifier » sur des moteurs de recherche populaires. Un des premiers résultats pointe vers un dépôt GitHub malveillant contenant une archive avec un exécutable trojanisé et un fichier texte de clés d’activation. L’exécutable est un wrapper malveillant autour du vrai installeur Proxifier légitime.
⚙️ Chaîne d’infection multi-étapes
La chaîne d’exécution est particulièrement longue et utilise des techniques fileless :
- Étape 1 : L’exécutable crée un processus stub (
Proxifier<???>.tmp) dans le répertoire temp, y injecteapi_updater.exe(.NET) qui ajoute des exclusions Microsoft Defender via un script PowerShell exécuté viaPSObject(sans console visible). - Étape 2 : Un second processus donor est créé,
proxifierupdater.exeest injecté, qui à son tour injectebin.exe(.NET) dansconhost.exe. Ce module exécute un script PowerShell obfusqué qui :- Ajoute
powershelletconhostaux exclusions Defender - Crée une clé de registre
HKLM\SOFTWARE\System::Configcontenant un script PowerShell encodé en Base64 - Crée une tâche planifiée pour exécuter ce script
- Ping un IP Logger (
https://maper[.]info/2X5tF5) pour signaler l’infection
- Ajoute
- Étape 3 : La tâche planifiée lit la clé de registre, décode et exécute le script, qui télécharge le prochain script depuis des services de type Pastebin.
- Étape 4 : Le script Pastebin télécharge un payload (~500 KB) depuis GitHub, contenant une longue chaîne Base64. Après décodage, le script extrait un shellcode, lance
fontdrvhost.exeet y injecte le shellcode. - Payload final : Le shellcode décompresse et installe ClipBanker, écrit en C++, compilé avec MinGW, sans persistance ni connexion réseau. Il surveille le presse-papiers pour des adresses de portefeuilles crypto et les remplace par celles des attaquants.
💰 Cryptomonnaies ciblées
Cardano, Algorand, Ethereum, Bitcoin, NEM, Stellar, BNB, Cosmos, Dash, Monero, Dogecoin, MultiversX, Arweave, Filecoin, Litecoin, Neo, Osmosis, Solana, THOR, Nano, Qtum, Waves, TRON, Ripple, Tezos, ZelCash — soit 26 réseaux blockchain.
👥 Victimes
Depuis début 2025, plus de 2000 utilisateurs de solutions Kaspersky ont été touchés, majoritairement en Inde et au Vietnam. 70% des détections proviennent du Kaspersky Virus Removal Tool (outil gratuit de nettoyage post-infection).
📄 Nature de l’article
Analyse technique détaillée publiée par Kaspersky, visant à documenter la chaîne d’infection complète, les techniques d’évasion et les indicateurs de compromission associés à cette campagne ClipBanker.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
- T1055 — Process Injection (Defense Evasion)
- T1055.002 — Process Injection: Portable Executable Injection (Defense Evasion)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1027.010 — Obfuscated Files or Information: Command Obfuscation (Defense Evasion)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
- T1112 — Modify Registry (Defense Evasion)
- T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
- T1620 — Reflective Code Loading (Defense Evasion)
- T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
- T1102 — Web Service (Command and Control)
- T1496 — Resource Hijacking (Impact)
- T1115 — Clipboard Data (Collection)
IOC
- Domaines :
maper.info— VT · URLhaus · ThreatFox - Domaines :
pastebin.com— VT · URLhaus · ThreatFox - Domaines :
snippet.host— VT · URLhaus · ThreatFox - Domaines :
chiaselinks.com— VT · URLhaus · ThreatFox - Domaines :
rlim.com— VT · URLhaus · ThreatFox - Domaines :
paste.kealper.com— VT · URLhaus · ThreatFox - Domaines :
git.parat.swiss— VT · URLhaus · ThreatFox - Domaines :
pinhole.rootcode.ru— VT · URLhaus · ThreatFox - URLs :
https://maper.info/2X5tF5— URLhaus - URLs :
https://pastebin.com/raw/FmpsDAtQ— URLhaus - URLs :
https://snippet.host/aaxniv/raw— URLhaus - URLs :
https://chiaselinks.com/raw/nkkywvmhux— URLhaus - URLs :
https://rlim.com/55Dfq32kaR/raw— URLhaus - URLs :
https://paste.kealper.com/raw/k3K5aPJQ— URLhaus - URLs :
https://git.parat.swiss/rogers7/dev-api/raw/master/cpzn— URLhaus - URLs :
https://pinhole.rootcode.ru/rogers7/dev-api/raw/master/cpzn— URLhaus - URLs :
https://github.com/lukecodix/Proxifier/releases/download/4.12/Proxifier.zip— URLhaus - URLs :
https://gist.github.com/msfcon5ol3/107484d66423cb601f418344cd648f12/raw/d85cef60cdb9e8d0f3cb3546de6ab657f9498ac7/upxz— URLhaus - MD5 :
34a0f70ab100c47caaba7a5c85448e3d— VT · MalwareBazaar - MD5 :
7528bf597fd7764fcb7ec06512e073e0— VT · MalwareBazaar - MD5 :
8354223cd6198b05904337b5dff7772b— VT · MalwareBazaar - Fichiers :
Proxifier.zip - Fichiers :
api_updater.exe - Fichiers :
proxifierupdater.exe - Fichiers :
bin.exe - Chemins :
HKLM\SOFTWARE\System::Config
Malware / Outils
- ClipBanker (other)
- api_updater.exe (loader)
- proxifierupdater.exe (loader)
- bin.exe (loader)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ securelist.com — source reconnue (liste interne) (20pts)
- ✅ 9425 chars — texte complet (fulltext extrait) (15pts)
- ✅ 26 IOCs dont des hashes (15pts)
- ✅ 3/6 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 16 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
maper.info(domain) → VT (11/94 détections)pastebin.com(domain) → ThreatFox (XWorm)snippet.host(domain) → VT (5/94 détections)
🔗 Source originale : https://securelist.com/clipbanker-malware-distributed-via-trojanized-proxifier/119341/