Le composant de vol de portefeuille surveille le presse-papiers de Windows, la mémoire temporaire cachée utilisée pour les opérations de copier-coller, environ toutes les 500 millisecondes. Lorsqu’un utilisateur copie une phrase de départ d’un portefeuille crypto ou une clé privée pour un portefeuille Bitcoin ou Ethereum, le malware capture ces données et les envoie au serveur de l’attaquant via le réseau Tor, une superposition open source qui fournit une communication anonyme. Il prend également cinq captures d’écran, à dix secondes d’intervalle, et les envoie également.
Le risque ne s’arrête pas là.
Si un utilisateur copie l’adresse d’un destinataire pour envoyer des fonds, le ver la remplace silencieusement par une adresse contrôlée par l’attaquant avant que l’utilisateur ne la colle, de sorte que le transfert est transmis à l’attaquant sans aucun signal visible.
Enfin, le ver se propage lorsqu’une clé USB propre est branchée sur l’ordinateur. Il analyse le lecteur USB propre à la recherche de fichiers ordinaires, de documents Word, de feuilles Excel et de PDF, les remplace par de nouveaux fichiers de raccourci portant les mêmes noms et infecte le lecteur. Puis le cycle continue.
Microsoft recommande de désactiver l’exécution automatique pour les supports amovibles, de bloquer l’exécution des fichiers .lnk sur les clés USB via la stratégie de groupe et de restreindre les hôtes de script tels que wscript.exe et cscript.exe. Les clients Microsoft Defender peuvent également exécuter des requêtes de recherche pour vérifier les activités associées, y compris les connexions à un proxy Tor local sur le port 9050.