Breaking
FRJeune pompier volontaire de 22 ans décède dans un incendie de forêt en SavoieCN強颱巴威逼近 中部以北注意10級以上強陣風FRMarine Le Pen : sa stratégie de pourvoi en cassation pourrait se retourner contre elleINTLGulf States Caught Between Escalating US-Iran ConflictINChennai Grand Masters 2026: Gukesh, Niemann and Elite Players to CompeteITTour de France: Olav Kooij vince la quinta tappa, Torstein Traeen resta in maglia giallaCRYPTO-FRAscendEX cesse ses activités le 1er juillet 2026, citant des difficultés financières et le règlement MiCAARالإيرانيون يصبون جام غضبهم على ترامب بعد تصريحاته حول مذكرة التفاهمAUNRL Admits Bunker Missed Knock-On in State of Origin DeciderDEVW-Aufsichtsrat berät über nächstes Sparpaket: Zehntausende Jobs und Werke zur DebatteFRJeune pompier volontaire de 22 ans décède dans un incendie de forêt en SavoieCN強颱巴威逼近 中部以北注意10級以上強陣風FRMarine Le Pen : sa stratégie de pourvoi en cassation pourrait se retourner contre elleINTLGulf States Caught Between Escalating US-Iran ConflictINChennai Grand Masters 2026: Gukesh, Niemann and Elite Players to CompeteITTour de France: Olav Kooij vince la quinta tappa, Torstein Traeen resta in maglia giallaCRYPTO-FRAscendEX cesse ses activités le 1er juillet 2026, citant des difficultés financières et le règlement MiCAARالإيرانيون يصبون جام غضبهم على ترامب بعد تصريحاته حول مذكرة التفاهمAUNRL Admits Bunker Missed Knock-On in State of Origin DeciderDEVW-Aufsichtsrat berät über nächstes Sparpaket: Zehntausende Jobs und Werke zur Debatte
Newsgather
BackMicrosoft révèle une campagne de cyberattaque sophistiquée ciblant les utilisateurs Windows
Microsoft révèle une campagne de cyberattaque sophistiquée ciblant les utilisateurs Windows
Developing
Journal du Coin6/19/2026Tech3 min read

Microsoft révèle une campagne de cyberattaque sophistiquée ciblant les utilisateurs Windows

Quick Look

Microsoft a dévoilé une cyberattaque active depuis février 2026, utilisant un logiciel malveillant pour intercepter le presse-papiers, voler des données financières et se propager via des supports amovibles, tout en utilisant Tor pour masquer ses communications.

AI-generated summary

Why It Matters

Une campagne de cyberattaque active depuis février 2026 cible les utilisateurs Windows avec un logiciel malveillant sophistiqué utilisant un clipper et des capacités de propagation par support amovible.

Font size

Windows Alert ! L’équipe de recherche en sécurité de Microsoft vient de révéler les détails d’une campagne de cyberattaque active depuis février 2026, ciblant les utilisateurs du système d’exploitation Windows. Ce programme malveillant utilise un logiciel de type « clipper » pour intercepter le presse-papiers des victimes, tout en intégrant des capacités de propagation autonome par support amovible. L’infrastructure d’attaque s’appuie sur le réseau d’anonymisation Tor pour dissimuler ses communications avec le serveur de commandement et de contrôle. Cette double fonction de vol financier et de porte dérobée montre une sophistication notable dans les méthodes employées par les cybercriminels pour contourner les outils de détection traditionnels.

Mécanisme d’infection et propagation par support amovible

Selon la presse spécialisée, les attaquants propagent le logiciel malveillant en injectant un fichier de raccourci Windows infecté sur des clés USB. Lorsque l’utilisateur connecte le support, un module de type « ver » vérifie la présence d’une infection antérieure avant de télécharger la charge utile principale.

Pour maximiser sa diffusion, le programme analyse le périphérique amovible à la recherche de documents courants aux formats PDF, DOC ou XLSX, puis dissimule les fichiers originaux pour les remplacer par des raccourcis piégés portant le même nom. L’ouverture de ces documents factices déclenche l’exécution invisible du code malveillant et assure la réplication du ver sur les nouveaux disques connectés.

Afin de maintenir sa présence sur le système, le logiciel configure des tâches planifiées dans l’environnement Windows. Le composant principal utilise ensuite les scripts d’administration Windows Script Host et des objets ActiveX pour interagir directement avec le système d’exploitation.

Le programme intègre également des fonctions d’évitement spécifiques, provoquant son arrêt immédiat si l’utilisateur ouvre le Gestionnaire des tâches. Cette capacité d’effacement temporaire complique l’identification de l’anomalie par les outils de surveillance classiques basés sur l’analyse statique des processus en cours d’exécution.

Interception des données et exfiltration par le réseau Tor

Une fois installé, le logiciel déploie un client Tor portable configuré sur un proxy local pour masquer l’adresse IP du serveur de contrôle. Le programme génère un identifiant unique pour chaque victime avant d’entrer dans une boucle d’analyse continue, inspectant le presse-papiers toutes les 500 millisecondes.

Dès qu’un utilisateur copie une adresse de clé de stockage numérique, l’algorithme détecte la structure de la chaîne de caractères et la remplace par une adresse appartenant aux attaquants. Cette substitution modifie la destination finale des transactions lors des opérations de collage effectuées par la victime.

Au-delà de la manipulation des transactions, le logiciel extrait des captures d’écran régulières et recherche des phrases de récupération pour les envoyer vers le serveur distant. Le système permet aussi l’exécution de code à distance à la demande des attaquants, transformant le simple outil de vol en une passerelle d’accès permanent.

Pour contrer cette menace, les analystes de Microsoft recommandent de bloquer l’exécution des fichiers de raccourci depuis les médias amovibles par le biais de stratégies de groupe (Group Policy Objects ou GPO en anglais). La surveillance comportementale des moteurs de script et la restriction de l’utilisation des utilitaires système standard demeurent indispensables pour protéger les postes de travail manipulant des flux financiers.

Open Questions

  • Quelle est l'étendue exacte de l'infection ?
  • Qui sont les attaquants ?
  • Quelles sont les mesures de protection spécifiques mises en place par Microsoft ?

Related Topics

This article was originally published by Journal du Coin.

Related Stories

Eigen Labs lève 70 millions de dollars pour lancer EigenCloud, une plateforme pour étendre la vérification blockchain aux applications hors chaîne
Developing·1d ago

Eigen Labs lève 70 millions de dollars pour lancer EigenCloud, une plateforme pour étendre la vérification blockchain aux applications hors chaîne

Eigen Labs, derrière le protocole de restaking EigenLayer, a levé 70 millions de dollars menés par a16z crypto pour lancer EigenCloud. Cette plateforme vise à étendre les garanties de vérification blockchain aux applications hors chaîne, notamment l'IA et la finance traditionnelle. EigenCloud s'appuie sur EigenDA, EigenVerify et EigenCompute pour offrir une exécution vérifiable des calculs.

Journal du Coin
More on this topiccyberattaque