Le malware CryptoBandits permet aux criminels d'utiliser votre clé USB pour accéder aux crypto-monnaies – Microsoft met en garde
Les dernières recherches de Microsoft sur les malwares crypto désignent les portefeuilles crypto, l'un des nombreux points où une transaction peut échouer, comme une faiblesse pratique majeure dans l'auto-garde,
Une machine Windows compromise peut modifier l'adresse copiée par un utilisateur, exposer une seed phrase avant la signature d'un transfert, ou envoyer des captures d'écran et le contexte du portefeuille à un attaquant.
Dans un rapport publié le 17 juin sur le Security Blog, Microsoft a indiqué que le malware CryptoBandits, détecté sous le nom « CryptoBandits.A », était actif depuis février 2026 et avait atteint des systèmes via des fichiers de raccourcis Windows malveillants sur des périphériques de stockage USB.
Le malware vole également les secrets des portefeuilles, remplace les adresses copiées et communique avec l'infrastructure de commande et de contrôle via Tor. Microsoft a indiqué qu'il surveille le presse-papiers environ toutes les 500 millisecondes et recherche des seed phrases, des clés privées et des adresses de portefeuilles.
Les portefeuilles matériels, les vérifications d'adresses et la discipline autour des seed phrases restent des contrôles nécessaires. Mais si le terminal gérant un flux de travail de portefeuille est compromis, l'attaquant peut voir le secret, modifier la destination ou observer l'écran avant que l'utilisateur ne remarque quoi que ce soit d'anormal.
CryptoSlate a déjà couvert des schémas similaires de vol de portefeuilles, notamment le remplacement d'adresses de style ClipBanker et les malwares de portefeuilles liés à Microsoft. Le nouvel élément dans le rapport de Microsoft est la combinaison de la propagation par USB, du vol via le presse-papiers, du contrôle routé par Tor et des conseils opérationnels pour détecter ce comportement.
Comment le malware CryptoBandits transforme les raccourcis USB en vecteur d'exécution
Microsoft a indiqué que l'accès initial s'effectue via des fichiers .lnk malveillants, notamment des raccourcis distribués sur des périphériques de stockage USB. Dans les cas analysés par Microsoft, le raccourci déploie un composant ver.
Le malware analyse ensuite le lecteur USB à la recherche de fichiers de documents courants, tels que .doc, .xlsx et .pdf, masque les originaux et crée de nouveaux fichiers de raccourcis portant les mêmes noms de fichiers.
Le résultat est un piège familier : un utilisateur pense ouvrir un document depuis un support amovible, mais il lance en réalité la charge utile du ver. Ce comportement correspond au schéma de sécurité plus large que MITRE ATT&CK décrit comme la réplication via des supports amovibles, mais la conséquence spécifique aux crypto est plus directe.
Une machine utilisée pour signer, copier ou vérifier les détails d'un portefeuille devient partie intégrante de la surface d'attaque.
Une fois le raccourci malveillant exécuté, Microsoft a indiqué que le malware dépose des charges utiles JavaScript obfusquées dans C:\Users\Public\Documents, utilise des tâches planifiées pour assurer sa persistance et maintient une tâche dédiée à la propagation vers les nouvelles clés USB insérées. Une autre tâche exécute l'activité de vol de données.
L'attaque commence souvent par une manipulation ordinaire de fichiers. Un lecteur USB partagé, un fichier copié ou une ancienne habitude avec des supports amovibles peut placer un terminal de gestion de portefeuille dans un état non sécurisé avant même qu'un logiciel de portefeuille ne soit ouvert.
Cela transforme l'utilisation routinière des supports amovibles en risque de malware USB pour tout appareil qui touche ultérieurement aux flux de travail de portefeuilles.
Cependant, les méthodes de prévention sont concrètes. Le moment risqué est l'exécution du raccourci et la persistance qui s'ensuit, avant qu'une action sur le portefeuille ne commence.
Pour une personne ou une équipe déplaçant des crypto, l'appareil qui ouvre les supports amovibles peut également être celui qui copiera ultérieurement une adresse de dépôt, affichera un flux de récupération ou préparera un transfert de trésorerie.
Pour les opérations de portefeuille, la politique relative aux supports amovibles fait partie des opérations de garde. Un utilisateur ou un bureau qui traite un poste de travail de signature comme un ordinateur polyvalent hérite des risques de chaque flux de documents associé à cette machine.
Les appareils utilisés pour l'activité de portefeuille ont besoin de moins de moyens d'exécuter des raccourcis, des scripts et des charges utiles non fiables.
L'attaque commence comme un problème de raccourci Windows, puis devient un problème de contrôle de portefeuille. Une fois le terminal compromis, la séquence habituelle de l'utilisateur — copier des adresses, vérifier les écrans et préparer des transactions — fournit au malware exactement le matériel qu'il a été conçu pour surveiller.
Comment le malware CryptoBandits fait du presse-papiers le chemin de la transaction
L'analyse de Microsoft explique pourquoi un crypto clipper devient grave lorsque les fonds sont en auto-garde. Après s'être enregistré auprès de son serveur de commande et de contrôle, le malware entre dans une boucle continue qui vérifie le presse-papiers environ toutes les demi-secondes.
Il recherche des seed phrases BIP39 de 12 ou 24 mots, des clés Bitcoin WIF, des clés Ethereum et des adresses de crypto-monnaies.
S'il trouve une seed phrase ou une clé privée, Microsoft a indiqué que le malware peut la sauvegarder localement et l'exfiltrer via Tor. S'il détecte une adresse de crypto-monnaie copiée, il peut remplacer cette valeur par une adresse contrôlée par l'attaquant.
Pour plusieurs formats d'adresses, Microsoft a indiqué que le malware tente de rendre le remplacement suffisamment similaire pour échapper aux vérifications rapides, par exemple en faisant correspondre les premiers caractères de certaines adresses Bitcoin, Tron ou Monero, ou en ne modifiant que le dernier caractère de certaines adresses Bitcoin de style Bech32.
Microsoft traite le remplacement d'adresses dans le presse-papiers comme un problème de vol de portefeuille depuis des années. Dans un rapport de 2022 sur les cryware et les portefeuilles chauds, la société a décrit le clipping et le switching comme des techniques qui interceptent les données du portefeuille avant qu'une transaction ne soit complète.
Le rapport CryptoBandits.A montre ce schéma lié à la propagation via supports amovibles et au trafic de commandes basé sur Tor.
Les conseils officiels de support des portefeuilles aiguisent l'angle de la garde. La documentation de MetaMask traite les seed phrases et les clés privées comme des secrets de contrôle de portefeuille et indique séparément aux utilisateurs de vérifier les adresses des destinataires avant de confirmer un envoi.
CryptoBandits.A cible les deux aspects de ce flux de travail : le secret qui contrôle le portefeuille et l'adresse qui reçoit les fonds.
| Comportement observé | Risque de garde | Réponse pratique |
|---|---|---|
| Fichiers de raccourcis USB malveillants | Une action normale d'ouverture de fichier peut lancer la charge utile du ver. | Désactiver AutoRun ou AutoPlay dans la mesure du possible et bloquer l'exécution de fichiers .lnk depuis les lecteurs amovibles. |
| Surveillance du presse-papiers et remplacement d'adresses | Une adresse de destinataire copiée peut être remplacée avant l'envoi d'une transaction. | Vérifier la destination complète sur un affichage de confiance et éviter de se fier uniquement à la mémoire du presse-papiers. |
| Extraction de seed phrase et de clé privée | Les secrets de contrôle du portefeuille peuvent quitter le terminal avant tout mouvement on-chain. | Conserver les données de récupération hors des machines en réseau et traiter toute exposition comme un événement de rotation de portefeuille. |
| Téléchargements de captures d'écran | Les attaquants peuvent voir le contexte du portefeuille, les soldes ou les flux de récupération. | Éviter d'afficher des données sensibles du portefeuille sur des machines à usage général. |
| Trafic de commandes routé via Tor sur localhost:9050 | Le blocage basé sur la destination devient plus difficile car le trafic est routé via un proxy local. | Rechercher les chaînes script-vers-réseau, l'activité curl et le comportement du proxy SOCKS5 local. |
Les portefeuilles matériels laissent un risque terminal dans le flux de travail
Il s'agit d'un avertissement spécifique concernant le terminal autour du portefeuille. Maintenir les clés privées isolées reste l'une des défenses les plus solides contre de nombreuses attaques courantes de portefeuilles.
Une hypothèse erronée est que la protection matérielle couvre chaque étape d'une transaction. Les portefeuilles matériels peuvent protéger les clés de signature, mais ils ne peuvent pas rendre fiable le presse-papiers d'un ordinateur compromis. Si un utilisateur copie une adresse de dépôt sur une plateforme d'échange, une adresse de paiement ou une adresse de transfert de trésorerie sur une machine infectée, le malware peut modifier la valeur avant que l'utilisateur ne la colle.
Si l'utilisateur ne vérifie que quelques caractères familiers, une adresse de remplacement conçue pour sembler similaire peut encore passer une vérification rapide.
Les seed phrases créent un mode de défaillance plus grave. Une phrase de récupération saisie ou copiée via une machine Windows compromise devient un risque de compromission à distance.
Microsoft a indiqué que le malware peut identifier les phrases de style BIP39 et les exfiltrer vers le serveur de commande et de contrôle. Une fois ce type de secret exposé, le risque s'étend au-delà d'une seule tentative de transfert.
Pour les particuliers, l'hygiène du portefeuille est en partie une hygiène de l'appareil. Pour les fonds gérés par des équipes, les procédures de garde doivent traiter le comportement du terminal comme faisant partie du processus d'approbation des transactions.
Une machine utilisée pour inspecter les soldes, préparer des transferts, relier des actifs ou déplacer des fonds depuis une plateforme d'échange devrait avoir un profil de risque différent d'un poste de travail qui ouvre également des supports amovibles inconnus.
La norme utile est la séparation. Un appareil qui gère l'activité de portefeuille devrait avoir moins de raisons d'exécuter des scripts, d'ouvrir des raccourcis depuis des lecteurs USB ou de copier des données de récupération via le presse-papiers.
Lorsqu'un flux de travail dépend du copier-coller, la destination affichée sur l'appareil de signature ou l'écran de confiance a plus de poids que l'adresse affichée dans un navigateur ou une fenêtre de chat.
Si un poste de travail est suspecté d'exposition, la réponse change également. L'exposition peut inclure bien plus qu'une simple mauvaise adresse dans une seule transaction en attente.
Elle peut inclure des données de récupération, des clés privées, des captures d'écran et l'exécution de commandes sur la même machine. Cela pousse la remédiation vers l'isolation du terminal, la rotation des données de portefeuille exposées et la révision de tout transfert préparé sur cet appareil.
La détection dépend des signaux comportementaux
Les conseils d'atténuation de Microsoft se concentrent sur le comportement. La société recommande de désactiver AutoRun et AutoPlay pour les supports amovibles, de bloquer l'exécution de fichiers .lnk depuis les lecteurs amovibles via la stratégie de groupe dans la mesure du possible, de restreindre l'utilisation inutile d'hôtes de scripts tels que wscript.exe et cscript.exe, et de revoir les règles de réduction de la surface d'attaque pour les scripts obfusqués et les chaînes de processus enfants suspects.
Pour les équipes de sécurité, les signaux les plus forts sont comportementaux. Microsoft a indiqué que les défenseurs devraient enquêter sur les cas où les moteurs de scripts lancent des outils tels que curl, cmd.exe, PowerShell ou des exécutables inattendus.
Il a également signalé l'activité du proxy SOCKS5 local sur localhost:9050, le comportement lié au presse-papiers et l'activité de capture d'écran PowerShell sur les appareils gérant des flux de travail financiers sensibles.
Ces signaux correspondent à plusieurs techniques ATT&CK standard, notamment la collecte de données du presse-papiers, la commande et le contrôle basés sur un proxy et la persistance via des tâches planifiées.
Microsoft Defender répertorie également des capacités de détection pour CryptoBandits, notamment Trojan:Win32/CryptoBandits.A et les détections JavaScript associées, ainsi que la couverture EDR pour les processus JavaScript suspects, l'exfiltration basée sur curl et l'activité du Planificateur de tâches.
Le rapport de Microsoft ne divulgue pas le nombre de victimes, les totaux de vols confirmés, la distribution géographique ni l'attribution à des acteurs nommés. Cela limite toute affirmation sur l'ampleur du préjudice financier.
La leçon en matière de garde repose sur le comportement observé : un flux de travail de portefeuille peut être compromis avant qu'une transaction n'atteigne la chaîne.
La conclusion immédiate est que les utilisateurs et opérateurs crypto devraient traiter les terminaux comme faisant partie de la pile de portefeuilles. Les contrôles USB, les restrictions de scripts, la vérification des adresses et la discipline du presse-papiers font partie de la sécurité de l'auto-garde.
Ils constituent le chemin qu'emprunte une transaction avant d'atteindre la chaîne.
L'article Le malware CryptoBandits permet aux criminels d'utiliser votre clé USB pour accéder aux portefeuilles crypto – Microsoft met en garde est apparu en premier sur CryptoSlate.
Vous aimerez peut-être aussi
Bitget lance Stock+ : Achetez de vraies actions américaines avec des Cryptos principaux via des courtiers réglementés
L'action CoreWeave (CRWV) progresse avant ses débuts au Nasdaq-100 alors que la demande en IA monte en flèche
Les marchés Forex restent stables alors que les États-Unis et l'Iran signalent des progrès dans les négociations nucléaires
