Les chercheurs en sécurité de Cyble ont découvert un nouveau malware Linux appelé ClipXDaemon, qui détourne les adresses de portefeuilles de cryptomonnaies en modifiant le contenu du presse-papiers sur les systèmes basés sur X11. Le malware opère sans serveurs de commande et de contrôle, surveillant et remplaçant les adresses en temps réel pour rediriger les fonds vers les attaquants. Il utilise un processus d'infection en plusieurs étapes et emploie des techniques de discrétion pour échapper à la détection.
ClipXDaemon, identifié par les Research & Intelligence Labs (CRIL) de Cyble, est apparu début février 2026 et vise les environnements Linux de bureau exécutant l'interface graphique X11. Le malware arrive via une chaîne d'infection en trois étapes : un chargeur chiffré généré par le framework open-source bincrypter, un dropper résident en mémoire qui déchiffre à l'aide d'AES-256-CBC et de décompression gzip, et une charge utile ELF sur disque écrite dans ~/.local/bin/ avec un nom de fichier aléatoire de huit à dix-neuf caractères. Pour la persistance, le dropper ajoute une commande d'exécution au fichier ~/.profile de l'utilisateur, assurant son exécution à la connexion sans nécessiter de privilèges root. Une fois activé, ClipXDaemon vérifie la présence d'une session X11 ; s'il détecte Wayland, il se termine immédiatement en raison des restrictions de Wayland sur l'accès global au presse-papiers. Il se transforme ensuite en démon via un processus de double fourche, ferme les descripteurs de fichiers, et se renomme en « kworker/0:2-events » en utilisant prctl(PR_SET_NAME) pour imiter un thread de travail du noyau, se fondant dans les listes de processus des outils comme ps ou top. La fonctionnalité principale consiste à sonder le presse-papiers toutes les 200 millisecondes via les API X11 telles que XConvertSelection et XGetWindowProperty. Il analyse les motifs correspondant à huit cryptomonnaies — Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple et TON — en utilisant des expressions régulières chiffrées déchiffrées avec ChaCha20. Lorsqu'un motif est trouvé, il remplace le contenu par des adresses contrôlées par l'attaquant avant que le collage ne se produise. Les portefeuilles de remplacement confirmés incluent ceux pour Ethereum (0x502010513bf2d2B908A3C33DE5B65314831646e7), Bitcoin (bc1qe8g2rgac5rssdf5jxcyytrs769359ltle3ekle), et d'autres pour Monero, Dogecoin, Litecoin et Tron. Aucune remplacement n'a été observé pour TON et Ripple, bien qu'ils soient surveillés. Remarquablement, ClipXDaemon ne présente aucune activité réseau, ne contenant ni domaines ni adresses IP intégrés, et n'effectue ni requêtes DNS ni connexions. Cette conception sans C2 permet une monétisation directe sans infrastructure distante. Le chargeur présente des similitudes structurelles avec le malware ShadowHS de janvier 2026, mais les chercheurs n'ont trouvé aucune preuve d'opérateurs partagés, attribuant les chevauchements à l'utilisation commune de bincrypter. Les experts recommandent de migrer vers Wayland, d'auditer ~/.profile et ~/.local/bin/, et de vérifier manuellement les adresses de portefeuilles avant les transactions. La charge utile ELF a échappé à la détection sur VirusTotal au moment de l'analyse.
