Crypto Clipper avec propagation ver via Tor : vol de wallets et backdoor légère

🔍 Contexte : Le 17 juin 2026, Microsoft Defender Security Research Team et Microsoft Defender Experts publient une analyse technique détaillée d’un crypto clipper Windows actif depuis février 2026, détecté sous le nom Trojan:Win32/CryptoBandits.A.

⚙️ Mécanisme d’infection : L’accès initial s’effectue via des fichiers de raccourci malveillants (.lnk) distribués sur des clés USB. Ces raccourcis dissimulent les fichiers originaux (.doc, .xlsx, .pdf), créent des copies malveillantes portant les mêmes noms, et déclenchent l’exécution d’un composant ver à l’ouverture. Le ver se propage automatiquement vers tout nouveau support USB inséré.

🧩 Composants déployés :

• Composant ver : assure la propagation, crée des tâches planifiées pour la persistance, exclut les dossiers de staging de l’analyse Defender
• Composant clipper/stealer : script JavaScript exécuté via WScript/ActiveXObject, surveille le presse-papiers toutes les ~500 ms

🛡️ Évasion : Le malware utilise une obfuscation multi-couches (PyArmor + PyInstaller pour le script Python d’installation, double obfuscation des payloads JS), un check anti-analyse via WMI (détection de Task Manager), et un client Tor portable renommé ugate.exe pour router les communications via localhost:9050 vers des domaines .onion.

📡 C2 et communications : Le C2 repose sur des domaines .onion accessibles via proxy SOCKS5 local (port 9050). Les endpoints utilisés sont /route.php (beacon), /recvf.php (upload screenshots), /stub.php (téléchargement payload). Les actions envoyées incluent GUID, SEED, PKEY, REPL. Le C2 peut répondre avec une commande EVAL permettant l’exécution de code JScript arbitraire sur la victime.

💰 Collecte :

• Phrases mnémoniques BIP39 (12 ou 24 mots) extraites du presse-papiers
• Clés privées Ethereum et Bitcoin WIF
• Substitution d’adresses crypto (Bitcoin Legacy, P2SH, Taproot/Bech32, Tron, Monero) par des adresses contrôlées par l’attaquant
• 5 captures d’écran (espacées de 10 secondes) exfiltrées via Tor

📁 Artefacts système : Payloads déposés dans C:\Users\Public\Documents\[5 chars]\, nommés avec une convention à 5 caractères. Fichier cfile créé pour les payloads C2.

📊 Type d’article : Publication de recherche technique par Microsoft, visant à documenter une menace active, fournir des IOCs, des requêtes de chasse et des détections MITRE ATT&CK pour les défenseurs.

🧠 TTPs et IOCs détectés

TTP

• T1091 — Replication Through Removable Media (Initial Access)
• T1059 — Command and Scripting Interpreter (Execution)
• T1057 — Process Discovery (Discovery)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1115 — Clipboard Data (Collection)
• T1113 — Screen Capture (Collection)
• T1090 — Proxy (Command and Control)
• T1048.002 — Exfiltration Over Alternative Protocol (Exfiltration)

IOC

• Domaines : cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion — VT · URLhaus · ThreatFox
• Domaines : gfoqsewps57xcyxoedle2gd53o6jne6y5nq5eh25muksqwzutzq7b3ad.onion — VT · URLhaus · ThreatFox
• Domaines : he5vnov645txpcv57el2theky2elesn24ebvgwfoewlpftksxp4fnxad.onion — VT · URLhaus · ThreatFox
• Domaines : lyhizqy2js2eh6ufngkbzntouiikdek5zsdj3qwa22b4z6knpqorgiad.onion — VT · URLhaus · ThreatFox
• Domaines : j3bv7g27oramhbxxuv6gl3dcyfmf44qnvju3offdyrap7hurfprq74qd.onion — VT · URLhaus · ThreatFox
• Domaines : shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid.onion — VT · URLhaus · ThreatFox
• Domaines : 7goms4byw26kkbaanz5a5u5234gusot7rp5imzc3ozh66wwcvmcudjid.onion — VT · URLhaus · ThreatFox
• Domaines : facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion — VT · URLhaus · ThreatFox
• Domaines : wt26llpl5k6gok3vnaxmucwgzv2wk3l7nuibbh25clghrtus3p5ctsid.onion — VT · URLhaus · ThreatFox
• Domaines : ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion — VT · URLhaus · ThreatFox
• SHA256 : 7630debd35cac6b7d58c4427695579b3e3a8b1cc462f523234cd6c698882a68c — VT · MalwareBazaar
• SHA256 : a7abf1d9d6686af1cefcd60b17a312e7eb8cfe267def1ec34aeab6128c811630 — VT · MalwareBazaar
• SHA256 : 23c1e673f315dafa14b73034a90dd3d393a984451ff6601b8be8142be6487b43 — VT · MalwareBazaar
• SHA256 : cf9fc891ea5ca5ecd8113ef3e69f6f52ff538b6cccbdaa9559106fc72bc6da30 — VT · MalwareBazaar
• SHA256 : 100407796028bf3649752d9d2a67a0e4394d752eb8de86daa42920e814f3fae8 — VT · MalwareBazaar
• SHA256 : d14b80cbd1a19d4ad0473a0661297f8fdf598e81ff6c4ab24e212dcad2e54b3f — VT · MalwareBazaar
• SHA256 : 9d90f54ae36c6c5435d5b8bed40faf54cc91f6db28574a6310b5ffaeb0362e96 — VT · MalwareBazaar
• SHA256 : 67fc5cf395e28294bbb91ed0e954fdf2e80ebd9119022a115a42c286dc8bacf5 — VT · MalwareBazaar
• SHA256 : 0020d23b0f9c5e6851a7f737af73fd143175ee47054931166369edd93338538a — VT · MalwareBazaar
• SHA256 : 35a6bc44b176a050fd6824904b7604f0f45b0fdfa26bf9500b9e05973b387cfd — VT · MalwareBazaar
• SHA256 : c824630154ac4fdfce94ded01f037c305eab51e9bef3f493c60ff3184a640502 — VT · MalwareBazaar
• SHA256 : d43bf94f0cb0ab97c88113b7e07d1a4024d1610617b5ad05882b1dbab89e15ba — VT · MalwareBazaar
• SHA256 : b2777b73a4c33ac6a409d475057843be6b5d32262ef28a1f1ff5bb52e3834c5f — VT · MalwareBazaar
• SHA256 : 7787a9a7d8ae393aa32f257d083903c4dc9b97a1e5b0458c4cd480d4f3cb5b05 — VT · MalwareBazaar
• SHA256 : f3b54984caca95fd496bcfe5d7db1611b08d2f5b7d250b43b430e5d76393f9e0 — VT · MalwareBazaar
• SHA256 : 20db98af3037b197c8a846dbf17b87fc6f049c3e0d9a188f9b9a74d3916dd5e1 — VT · MalwareBazaar
• Fichiers : ugate.exe
• Chemins : C:\Users\Public\Documents\omoho\

Malware / Outils

• CryptoBandits (stealer)
• Tor (tool)

🟢 Indice de vérification factuelle : 90/100 (haute)

• ✅ microsoft.com — source reconnue (liste interne) (20pts)
• ✅ 22514 chars — texte complet (fulltext extrait) (15pts)
• ✅ 28 IOCs dont des hashes (15pts)
• ✅ 3/6 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion (domain) → VT (15/91 détections)
• gfoqsewps57xcyxoedle2gd53o6jne6y5nq5eh25muksqwzutzq7b3ad.onion (domain) → VT (5/91 détections)
• he5vnov645txpcv57el2theky2elesn24ebvgwfoewlpftksxp4fnxad.onion (domain) → VT (15/91 détections)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/06/17/crypto-clipper-uses-tor-worm-like-propagation-for-persistence-control/?utm_source=infosec-mashup.santolaria.net&utm_medium=newsletter&utm_campaign=infosec-mashup-25-2026-client-side-authorization-is-not-authorization&_bhlid=ee68dae9e1948abd213f41925d63320f1d7664ac