Microsoft a découvert un logiciel malveillant qui détourne les transferts de cryptomonnaies via des clés USB. Voici comment il fonctionne.

Le service de renseignement sur les menaces de Microsoft a révélé le 17 juin qu'il suivait depuis février 2026 une campagne de logiciels malveillants Windows qui se propage via des clés USB infectées et détourne silencieusement les transferts de cryptomonnaies.

Le logiciel malveillant, détecté par Microsoft Defender Antivirus comme Trojan:Win32/CryptoBandits, surveille le presse-papiers de la victime environ toutes les 500 millisecondes et remplace les adresses de portefeuille copiées par des adresses contrôlées par l'attaquant avant même que l'utilisateur ne les colle. La transaction s'effectue normalement sur l'écran de la victime, mais les fonds sont détournés.

La méthode d'infection est ancienne, mais son exécution est exceptionnellement sophistiquée pour ce qui est normalement une catégorie de logiciels malveillants simples.

L'attaque débute lorsqu'une clé USB saine est branchée sur un ordinateur déjà infecté. Le ver analyse la clé à la recherche de fichiers courants tels que des documents Word, des feuilles Excel et des PDF, puis masque les originaux et les remplace par des raccourcis malveillants portant les mêmes noms et icônes.

Lorsque cette clé USB est ensuite branchée sur un autre ordinateur et que la victime clique sur ce qui semble être son propre document, l'Explorateur Windows traite automatiquement le fichier .lnk malveillant et le code malveillant s'exécute en quelques secondes. Aucun téléchargement, aucun courriel d'hameçonnage, aucun lien suspect. Juste une clé USB d'apparence tout à fait normale.

Une fois activé sur une nouvelle machine, le logiciel malveillant exécute deux processus simultanément. Il commence par surveiller le presse-papiers à la recherche de données sensibles, puis attend la prochaine clé USB saine pour répéter le cycle de propagation.

CryptoBandits cible trois catégories spécifiques de données du presse-papiers, et il est important de comprendre chacune d'elles pour évaluer votre propre exposition :

• Phrases de récupération et clés privées. Si vous copiez, même brièvement, la phrase de récupération ou la clé privée de votre portefeuille, le logiciel malveillant la capture et l'exfiltre vers le serveur de l'attaquant via le réseau Tor.

• Captures d'écran. Le logiciel malveillant prend cinq captures d'écran à dix secondes d'intervalle dès qu'il détecte une activité pertinente dans le presse-papiers, capturant ainsi un contexte visuel qu'un attaquant peut utiliser pour confirmer ce qui a été volé.

• Adresses de portefeuille du destinataire. C'est la fonctionnalité la plus dangereuse. Lorsque vous copiez une adresse de destination pour envoyer des fonds, le logiciel malveillant la remplace discrètement par une adresse contrôlée par l'attaquant avant même que vous ne la colliez. Vous voyez votre propre adresse. Vous confirmez la transaction. L'argent est envoyé à l'attaquant.

L'analyse de Microsoft a révélé que le logiciel malveillant utilise Windows Script Host et une logique pilotée par ActiveX pour lancer un proxy Tor intégré et communiquer avec un serveur de commande et de contrôle caché.

Il configure également des tâches planifiées pour assurer sa persistance, ce qui lui permet de survivre à un redémarrage et de poursuivre la surveillance indéfiniment. Si le serveur de l'attaquant renvoie des commandes spécifiques, le logiciel malveillant peut exécuter du code supplémentaire en cours d'exécution, lui conférant des capacités qui dépassent celles d'un simple outil de vol de portefeuille.

D'après les incidents que nous avons analysés dans ce domaine de la sécurité, les logiciels malveillants classiques de détournement de presse-papiers existent depuis des années et sont relativement faciles à détecter car ils nécessitent généralement une connexion Internet permanente à un serveur fixe. CryptoBandits, quant à lui, fait transiter toutes ses communications par Tor, ce qui anonymise l'infrastructure de commande et de contrôle et rend la détection sur le réseau beaucoup plus difficile.

La propagation physique via USB, comparable à celle d'un ver informatique, représente également une escalade significative. La plupart des logiciels malveillants modernes se propagent par le biais de courriels d'hameçonnage, de publicités malveillantes ou de téléchargements compromis. La propagation physique via des supports amovibles contourne les filtres de messagerie, les alertes de sécurité des navigateurs et la plupart des outils de détection des menaces sur les terminaux, conçus pour les menaces réseau. La société de sécurité NS3.AI a confirmé que des utilisateurs sont touchés depuis février, et Binance a relayé l'avertissement de Microsoft directement auprès de ses utilisateurs après sa divulgation.

Les mesures d'atténuation recommandées par Microsoft sont spécifiques et méritent d'être mises en œuvre immédiatement, que vous ayez ou non remarqué quoi que ce soit d'inhabituel :

• Désactivez la lecture automatique et l'exécution automatique pour tous les supports amovibles sur chaque ordinateur Windows que vous utilisez pour les transactions.

• Bloquez l'exécution des fichiers .lnk depuis les clés USB au niveau de la stratégie système si votre système d'exploitation le permet.

• Ne copiez jamais une adresse de portefeuille sans vérifier visuellement que les premiers et derniers caractères correspondent systématiquement à ce que vous attendez.

• Évitez absolument de copier vos phrases de récupération ou vos clés privées dans le presse-papiers. Saisissez-les directement ou utilisez un portefeuille matériel qui ne divulgue jamais la clé au système d'exploitation.

• Si vous avez utilisé des clés USB inconnues sur une machine de trading depuis février, vérifiez que vos systèmes ne présentent pas les indicateurs de compromission publiés par Microsoft sur son blog de sécurité.

La vérification systématique des adresses est la meilleure défense contre ce type d'attaque. Le modèle de ce logiciel malveillant repose entièrement sur la confiance aveugle de la victime quant à la conformité de l'adresse copiée avec l'adresse collée. Un utilisateur qui vérifie manuellement les quatre premiers et les quatre derniers caractères de toute adresse de destination avant de confirmer un virement déjoue cette attaque, même si le logiciel malveillant est présent sur son système.

Les traders qui utilisent des fonds consacrent beaucoup de temps à réfléchir aux limites de perte , à la taille de leurs positions et au risque de marché. La campagne CryptoBandits nous rappelle que l'ordinateur qui exécute vos transactions fait lui aussi partie de votre surface de risque.

Un détournement de presse-papiers ne tient aucun compte de la rigueur de votre stratégie de trading. Il ignore votre ordre stop loss et votre limite de perte quotidienne. Il attend simplement un transfert et le redirige. D'après les incidents de sécurité que nous avons recensés cette année, les traders qui évitent totalement ce type de perte ne sont généralement pas les plus experts techniquement.

Ce sont eux qui considèrent la vérification élémentaire comme une pratique incontournable, au même titre que la gestion des risques pour chaque transaction. Vérifiez chaque adresse. Interrogez-vous sur chaque clé USB inconnue. Vérifier ne prend que quelques secondes. Ne pas vérifier, en revanche, a des conséquences illimitées.