Clipboard Hijacking

🔍 Contexte Publié le 9 avril 2026 par Oleg Kupreev sur Securelist (Kaspersky), cet article décrit une campagne active depuis début 2025 distribuant le malware ClipBanker via un faux installeur du logiciel Proxifier, hébergé sur GitHub et promu via les moteurs de recherche. 🎯 Vecteur d’infection initial Les victimes recherchent « Proxifier » sur des moteurs de recherche populaires. Un des premiers résultats pointe vers un dépôt GitHub malveillant contenant une archive avec un exécutable trojanisé et un fichier texte de clés d’activation. L’exécutable est un wrapper malveillant autour du vrai installeur Proxifier légitime. ...

🔍 Contexte Publié le 1 avril 2026 par l’équipe GReAT de Kaspersky, cet article présente l’analyse d’un nouveau cheval de Troie d’accès à distance (RAT) nommé CrystalX, découvert en mars 2026 sur des canaux Telegram privés. Le malware est distribué selon un modèle malware-as-a-service (MaaS) avec trois niveaux d’abonnement. 🧬 Origine et évolution Première mention en janvier 2026 dans un chat Telegram privé pour développeurs de RAT, sous le nom WebCrystal RAT Identifié comme un clone de WebRat, un RAT préexistant Rebaptisé CrystalX RAT peu après, avec création d’un canal Telegram dédié pour sa commercialisation Des vidéos tutorielles publiées sur YouTube sous couvert de « fins éducatives » facilitent son utilisation 💣 Capacités malveillantes Vol de données et surveillance : ...

🔍 Contexte Analyse technique publiée le 31 mars 2026 par Seqrite (équipe de recherche : Niraj Makasare, Prashil Moon, Rayapati Lakshmi Prasanna Sai). L’investigation a débuté suite à la détection de tâches planifiées Windows suspectes exécutant des fichiers VBScript depuis des répertoires accessibles aux utilisateurs. ⚙️ Mécanisme d’infection L’attaque repose sur deux chaînes d’exécution parallèles déclenchées via des Scheduled Tasks : Chaîne 1 : ppamproServiceZuneWAL.vbs → ppamproServiceZuneWAL.ps1 → téléchargement de Wallet.txt depuis https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt → exécution en mémoire d’un hijacker de presse-papiers ciblant 29 cryptomonnaies (BTC, ETH, XMR, etc.) Chaîne 2 : PiceVid.vbs → PiceVid.ps1 → déploiement en mémoire du RAT RetroRAT via Invoke-Expression 🦠 RetroRAT – Analyse du payload RetroRAT est un Remote Access Trojan financièrement motivé avec les capacités suivantes : ...

Microsoft Threat Intelligence (Microsoft Security Blog) publie une analyse d’une nouvelle variante du malware macOS XCSSET, axée sur l’infection d’environnements de développement Xcode et l’extension de ses capacités d’exfiltration et de persistance. • Le malware introduit une chaîne d’infection en quatre étapes et des modules mis à jour. Il se propage via des projets Xcode partagés entre développeurs 👨‍💻. Il renforce la furtivité en utilisant des AppleScripts compilés en mode run‑only et des communications C2 chiffrées en AES avec une clé prédéfinie. ...