AI News CryptoTRADE THE NEWS
A USB drive plugged into a laptop with cables
Crypto
Trading

Microsoft alerte sur un malware CryptoBandits via USB

Le ver Windows utilise des raccourcis .lnk malveillants, interroge le presse-papiers toutes les ~500 ms et exfiltre des données via Tor.

Par AI News Crypto Editorial Team5 min de lecture

Microsoft a révélé un ver Windows propagé par USB détecté comme Trojan:Win32/CryptoBandits qui cible l'activité des portefeuilles crypto depuis février 2026. Le malware surveille le presse-papiers pour les phrases de récupération, les clés privées et les adresses des destinataires, et peut silencieusement remplacer les adresses de destination copiées pour rediriger les transferts.

Points clés

  • Un ver Windows propagé par USB suivi comme Trojan:Win32/CryptoBandits cible l'activité des portefeuilles crypto depuis février 2026.
  • L'infection initiale peut commencer par un simple clic sur un raccourci Windows malveillant (.lnk) placé sur une clé USB infectée.
  • Le payload interroge le presse-papiers Windows environ toutes les 500 millisecondes et peut échanger les adresses des destinataires copiées avant qu'un utilisateur ne les colle dans un flux de transfert.
  • Les données volées sont envoyées via Tor, et le malware capture également cinq captures d'écran espacées de 10 secondes.

Microsoft nomme Trojan:Win32/CryptoBandits comme un « Crypto Clipper » propagé par USB

Microsoft a révélé une campagne de « crypto clipper » Windows qui se propage par des clés USB infectées et cible les opérations de portefeuilles crypto. Microsoft Defender détecte la menace comme Trojan:Win32/CryptoBandits, et Microsoft a déclaré que le ver est actif depuis février 2026.

L'étiquette compte moins que le flux de travail qu'elle cible. Ce n'est pas un truc d'injection de navigateur de niche. Il est conçu pour s'installer sur une machine Windows et interférer avec le moment exact où les fonds se déplacent, où les traders et les utilisateurs avancés s'appuient régulièrement sur le copier-coller pour éviter les fautes de frappe.

D'un clic sur .lnk à un transfert détourné : comment fonctionne l'échange de presse-papiers

La chaîne d'infection commence sur des supports amovibles. Une clé USB infectée contient un fichier de raccourci Windows malveillant se terminant par ".lnk". Lorsque l'utilisateur clique dessus, le raccourci exécute des commandes contrôlées par l'attaquant qui installent le ver sur le PC.

Une fois résident, le composant de vol de portefeuille surveille le presse-papiers de Windows environ toutes les 500 millisecondes. Microsoft a déclaré qu'il recherchephrases de récupération,clés privées, et les adresses des destinataires. La partie la plus difficile de la plupart des vols de portefeuille est de convaincre un utilisateur de remettre ses secrets. Cette campagne réduit cette dépendance en ciblant plutôt l'exécution des transferts.

Le comportement critique estadresseremplacement. Lorsqu'un utilisateur copie une adresse de destinataire pour envoyer des fonds, le logiciel malveillant peut silencieusement la remplacer par une adresse contrôlée par l'attaquant avant le collage, sans aucun indice visible.

Cela signifie qu'un utilisateur peut tout faire "correctement" en ne tapant jamais une phrase de récupération sur un site de phishing et se faire tout de même avoir au moment du retrait ou de l'envoi sur la chaîne.

Les données du presse-papiers capturées sont exfiltrées via le réseau Tor. Microsoft a également déclaré que le logiciel malveillant prend cinq captures d'écran, à dix secondes d'intervalle, et les envoie à l'attaquant, une méthode simple pour capturer ce qui était affiché à l'écran pendant la configuration, la connexion ou la confirmation de transfert.

Pourquoi la propagation USB change le modèle de menace pour les opérations de portefeuille

La propagation USB transforme cela d'un problème à point unique en un problème opérationnel. Le ver attend des médias amovibles supplémentaires, puis se propage lorsqu'une clé USB propre est insérée dans la machine infectée.

La description de Microsoft est directe : le logiciel malveillant scanne le lecteur propre à la recherche de fichiers ordinaires comme des documents Word, des feuilles Excel et des PDF, puis les remplace par des fichiers de raccourci portant le même nom pour infecter le lecteur.

C'est un piège pratique pour les flux de travail de bureau qui déplacent des fichiers entre les machines, y compris les habitudes semi-isolées où les utilisateurs supposent que « hors ligne » équivaut à sûr.

Pour les traders, le risque de second ordre est le mouvement latéral vers la machine qui signe ou prépare réellement les transferts. Une seule clé USB contaminée utilisée pour « juste déplacer un fichier » peut devenir le pont.

Playbook Defender : AutoRun, blocage des .lnk, hôtes de script et chasse au port Tor 9050

Microsoft a recommandé de désactiver AutoRun pour les médias amovibles et de bloquer l'exécution des .lnk sur les clés USB via la stratégie de groupe. Il a également conseillé de restreindre les hôtes de script Windows tels que wscript.exe et cscript.exe, qui sont des chemins d'exécution courants pour les chaînes de logiciels malveillants basés sur des raccourcis et des scripts.

Du côté de la détection, Microsoft a déclaré que les clients de Defender peuvent exécuter des requêtes de chasse pour des activités connexes, y compris des connexions cohérentes avec un proxy Tor local sur le port 9050. Microsoft a également publié des indicateurs de compromission pour les défenseurs, y compris des hachages de fichiers et des domaines de commande et de contrôle .onion.

Ce qui reste flou, c'est l'étendue. La divulgation, telle que fournie, ne quantifie pas le nombre de victimes, les régions, les applications de portefeuille spécifiques ou les fonds volés. Le prochain signal concret sera de savoir si Microsoft élargit ces détails, et si de nouvelles détections lient CryptoBandits à un logiciel de portefeuille particulier ou à des flux de retrait d'échange.

Pour les entreprises et les équipes de trading, la télémétrie immédiate à surveiller est l'exécution des .lnk à partir de médias amovibles et toute activité similaire à un proxy Tor sur le port 9050, puis de faire correspondre les hachages mis à jour de Microsoft et l'infrastructure .onion avec les journaux de points de terminaison et de réseau.

L'avis de Marcus Hale : Le mode de défaillance silencieux est le remplacement d'adresse, pas le vol de clé

Je considère cela comme un problème de structure de marché pour les opérations de garde autonome, pas comme un titre sur « nouveau logiciel malveillant ». La conception est optimisée pour le chemin de vol à friction la plus basse : couper l'adresse de destination au moment du transfert, et l'utilisateur fait le reste.

Le seuil qui compte est de savoir si les défenseurs peuvent fiablement faire surface l'exécution des .lnk à partir de médias amovibles et les artefacts de proxy Tor avant que le premier envoi mauvais ne sorte.

La propagation USB est le multiplicateur. Si ce schéma de saut se maintient dans les flux de travail réels de bureau, la configuration commence à sembler structurelle plutôt que narrative, car elle cible le comportement de déplacement de fichiers sur lequel de nombreuses équipes comptent encore.

Ce développement est important en termes pratiques si CryptoBandits apparaît comme un .lnk-from-USB répétable plus la télémétrie Tor-9050 à l'intérieur d'environnements qui organisent et exécutent régulièrement des retraits.

Sources