Depuis février 2026, une campagne sophistiquée de malware infiltrie silencieusement les ordinateurs Windows dans le monde entier, utilisant un vecteur d’attaque inattendu et déceptivement simple : la humble clé USB. Microsoft Threat Intelligence a baptisé cette menace ‘CryptoBandits’, officiellement suivie sous le nom Trojan:Win32/CryptoBandits, et ses capacités sont alarmantes, avoir provoqué une alerte de sécurité publique rare. Ce n’est pas une exploitation théorique. Il s’agit d’une campagne active, en cours, qui propage des vols de credentials de portefeuilles de cryptomonnaie depuis plus de quatre mois, et les chercheurs en sécurité estiment que la propagation réelle pourrait être bien plus importante que les chiffres de détection actuels.
🔑 En bref
- CryptoBandits est un malware de type crypto-clipper qui se propage via des clés USB infectées.
- Il intercepte les adresses de portefeuilles et les clés privées depuis le presse-papiers.
- Utilise Tor pour la communication C2, rendant la détection difficile.
- Comporte une capacité d’exécution de code à distance, transformant le voleur en portière.
- Microsoft recommande de désactiver AutoRun et de vérifier les adresses caractère par caractère.
Comprendre la menace : qu’est-ce qu’un crypto-clipper ?
Avant d’entrer dans les détails de la campagne CryptoBandits, il est important de comprendre la catégorie de malware plus large à laquelle elle appartient. Un crypto-clipper est un type de malware qui surveille silencieusement le presse-papiers de l’utilisateur – le buffer temporaire où les données copiées sont stockées – et intercepte les informations sensibles qui y passent. Dans le contexte des cryptomonnaies, cela signifie les adresses de portefeuilles, les phrases de récupération (seed phrases) et les clés privées.
Le concept de malware clipper n’est pas nouveau. Des versions ciblant les appareils Android sont apparues sur Google Play, et la société de cybersécurité ESET a documenté Android/Clipper.C dès 2019, un malware qui remplace les adresses de portefeuilles Bitcoin ou Ethereum copiées dans le presse-papiers par des adresses contrôlées par l’attaquant. Cependant, la campagne CryptoBandits représente une avancée significative en sophistication, combinant une propagation USB de type ver, un contrôle de commande (C2) anonymisé via Tor et des capacités d’exécution de code à distance dans une menace unifiée.
Comme Microsoft l’a déclaré dans son analyse de sécurité du 17 juin 2026 : « La menace va au-delà des crypto-clipper traditionnels, fonctionnant à la fois comme un voleur de cryptomonnaie et une portière légère. »
Chaîne d’infection : comment le malware se répand
La campagne CryptoBandits commence par un vecteur remarquablement basse technologie : un fichier raccourci Windows malveillant, connu sous le nom de fichier .lnk, distribué via des supports de stockage USB. Cette chaîne d’attaque est délibérément conçue pour exploiter le comportement humain et l’habitude répandue de partager des clés USB entre ordinateurs.
Phase 1 : L’infection initiale par USB
La victime reçoit ou trouve une clé USB contenant ce qui semble être des documents ordinaires – fichiers Word, tableurs Excel ou PDF. Les fichiers semblent totalement normaux. Cependant, chacun de ces fichiers a été masqué par le malware, et à sa place, un fichier raccourci .lnk malveillant a été créé, portant le même nom de fichier exact. Lorsque l’utilisateur double-clique sur ce qu’il croit être son document, il en réalité le malware.
Selon l’analyse de Microsoft, le processus d’infection vérifie si la machine est déjà infectée avant de procéder. Si le malware détecte une infection antérieure, il se termine silencieusement. C’est un mécanisme anti-duplication qui empêche le malware de gaspiller des ressources sur les systèmes déjà compromis, tout en rendant l’analyse forensique plus difficile.
Phase 2 : Préparation du ver et déploiement de la charge utile
Une fois le fichier .lnk déclenché, le malware prépare des charges utiles supplémentaires. Il crée des dossiers dans C:\Users\Public\Documents\ sous des noms de répertoires aléatoires de cinq caractères, déposant deux fichiers JavaScript dans chacun. Le malware utilise une obfuscation à plusieurs niveaux, combinant l’emballage PyArmor et PyInstaller pour le composant installeur avec une double couche d’obfuscation JavaScript pour les charges utiles d’exécution.
Le malware établit ensuite la persistance en créant deux tâches planifiées à durée indéterminée – une pour le composant de propagation USB et une pour l’activité de vol. Cette approche à double tâche planifiée assure que le malware survit aux redémarrages du système et continue de fonctionner même après des tentatives d’atténuation partielles.
Phase 3 : Déploiement du client Tor
Le malware déploie un exécutable Tor rebundé et renommé (ugate.exe) dans une fenêtre cachée. Il établit une connexion proxy SOCKS5 via localhost:9050, qui permet à tout le trafic réseau suivant d’être routé anonymement via le réseau Tor. C’est un choix de conception critique : en utilisant Tor au lieu d’une infrastructure C2 basée sur des IP traditionnelles, les attaquants réduisent considérablement le risque que leurs serveurs C2 soient traqués, fermés ou bloqués.
« Au lieu de cela, il déploie un client Tor portable, achemine le trafic via un proxy SOCKS5 local, et mélange le vol de données avec l’exécution de code à distance, transformant un voleur à motivation financière en portière légère. »
The Hacker News
Le ver auto-propageant : comment il se propage
L’un des aspects les plus dangereux du malware CryptoBandits est sa capacité de propagation de type ver via les périphériques USB. Contrairement à un virus traditionnel qui nécessite qu’un utilisateur télécharge ou installe quelque chose, ce malware se déplace de manière autonome via les médias amovibles, infectant les machines propres sans que l’attaquant n’ait à intervenir.
Le composant ver fonctionne comme suit : une tâche planifiée surveille en continu les périphériques de stockage USB nouvellement connectés. Lorsqu’une clé USB propre est insérée, le malware la scanne à la recherche de fichiers de documents (.doc, .xlsx, .pdf). Il masque ensuite les documents originaux et les remplace par des raccourcis .lnk malveillants portant des noms de fichiers identiques. Le malware copie également ses fichiers de préparation sur la clé USB.
Cela crée un cycle auto-perpétuel. La clé USB voyage vers un autre ordinateur, quelqu’un clique sur ce qui semble être un raccourci de document, et l’infection se répète. Le ver n’a besoin d’aucune action de la part de l’attaquant original après le déploiement initial. Il se propage organiquement par le partage physique des clés USB – un vecteur de menace que les politiques de sécurité d’entreprise négligent souvent.
Comme BleepingComputer l’a rapporté : « Lorsque les utilisateurs tentent d’ouvrir des documents, le malware s’exécute. » L’élément d’ingénierie sociale est subtil mais hautement efficace : les utilisateurs font confiance aux raccourcis de fichiers qui semblent être des documents qu’ils ont eux-mêmes placés sur la clé.
Le composant clipper : ce qu’il vole et comment
Une fois le composant voleur actif – et il attend silencieusement que le Gestionnaire des tâches ne soit pas en cours d’exécution pour éviter la détection – le malware entre dans une boucle de surveillance continue. Il utilise Windows Script Host (WScript) et une logique pilotée par ActiveX pour interagir avec le système opérationnel à un niveau profond.
Surveillance du presse-papiers (toutes les 500 millisecondes)
Le voleur vérifie le presse-papiers toutes les 500 millisecondes pour les données relatives aux cryptomonnaies. Cette fréquence de polling extrêmement élevée signifie qu’aucun événement du presse-papiers n’est examiné. Le malware cible une liste complète de credentials de cryptomonnaie :
- Phrases de récupération BIP39 de 12 mots (le format standard de phrase de récupération pour la plupart des portefeuilles matériels et logiciels)
- Phrases de récupération BIP39 de 24 mots (utilisées par certains portefeuilles pour une sécurité supplémentaire)
- Clés privées Ethereum
- Clés Bitcoin WIF (Wallet Import Format)
- Adresses de portefeuille Bitcoin dans tous les formats majeurs : Legacy (commençant par 1), P2SH (commençant par 3), Bech32 (commençant par bc1q), et Taproot (commençant par bc1p)
- Adresses de portefeuille Tron (TRX) (commençant par T)
- Adresses de portefeuille Monero
La sophistication de la logique de remplacement d’adresse est particulièrement notable. Plutôt que de remplacer une adresse copiée par une chaîne aléatoire, le malware la substitue par une adresse contrôlée par l’attaquant qui partage des similitudes structurelles – correspondant aux deux premiers caractères pour les adresses Legacy et P2SH, ou correspondant au dernier caractère pour les adresses Bech32 et Taproot – pour réduire la probabilité que la victime notice un décalage de longueur ou de format.
Extraction de phrases de récupération et de clés privées
Lorsque le malware détecte une phrase de récupération sur le presse-papiers, il l’enregistre localement et tente de la transmettre au serveur de commande et de contrôle (C2) via Tor. Il réessaie la transmission jusqu’à ce qu’un accusé de réception soit reçu, et ne supprime la copie locale qu’après une livraison confirmée. La même chose s’applique aux clés privées. Ce mécanisme de réessai jusqu’à l’accusé de réception est un choix de conception délibéré qui assure que les données critiques sont exfiltrées même dans des conditions réseau instables.
Surveillance par captures d’écran
Le malware prend également des captures d’écran. Toutes les 10 secondes, il capture cinq captures d’écran de l’affichage de la machine infectée. Ces captures d’écran sont exfiltrées à l’attaquant via le réseau Tor en utilisant l’outil curl. L’objectif des captures d’écran est contextuel : elles permettent à l’attaquant de voir ce que la victime faisait au moment où les données du presse-papiers ont été capturées – par exemple, confirmant que l’utilisateur était sur le point d’exécuter une transaction de cryptomonnaie sur une plateforme spécifique.
Exécution de code à distance
Peut-être la capacité la plus alarmante est la commande EVAL, qui permet à l’attaquant d’exécuter du code JavaScript arbitraire sur la machine infectée à distance. Lorsque le serveur C2 renvoie une instruction EVAL, le malware télécharge le contenu JavaScript dans un fichier nommé « cfile » et l’exécute. Cela transforme effectivement le malware d’un voleur de cryptomonnaie en une portière de usage général, donnant à l’attaquant la capacité d’exécuter le code de son choix sur le système compromis.
Infrastructure de commande et de contrôle
La campagne CryptoBandits utilise une architecture C2 basée sur Tor qui représente une évolution significative par rapport aux malware crypto-clipper antérieurs plus simples. L’infrastructure se compose de trois principaux endpoints sur des services cachés .onion :
– /route.php – Utilisé pour le balisage et la récupération des commandes
– /recvf.php – Utilisé pour les téléchargements de fichiers, y compris les captures d’écran
– /stub.php – Utilisé pour les téléchargements de charges utiles
Lorsque la connexion Tor s’initialise, le malware génère un identifiant unique de victime (un GUID) et enregistre l’appareil infecté avec le serveur externe. Chaque balise suivante inclut ce GUID avec des données de géolocalisation, permettant à l’attaquant de suivre et de gérer une flotte mondiale d’appareils compromis.
L’utilisation de services cachés Tor signifie que l’infrastructure C2 est extraordinairement difficile à perturber par des méthodes traditionnelles d’arrêt. Même si les agences d’application des lois parviennent à identifier et à saisir un serveur C2, la nature décentralisée de Tor signifie que les attaquants peuvent simplement mettre en place un nouveau service caché avec une nouvelle adresse .onion, mettre à jour la configuration du malware via le même canal chiffré, et continuer les opérations.
« En bundleant son propre client Tor et en communiquant exclusivement via des services cachés .onion, le malware cache son infrastructure tout en maintenant un accès persistant aux appareils infectés. »
CyberInsider
Qui est à risque ?
Les utilisateurs les plus à risque sont les utilisateurs Windows qui ont branché une clé USB inconnue ou partagée sur un ordinateur qui gère également des transactions de cryptomonnaie. Cela inclut :
- Les détenteurs de cryptomonnaie individuels qui partagent occasionnellement des fichiers via USB
- Les employés de bureau qui utilisent des clés USB pour transférer des documents entre ordinateurs à la maison et au travail, dont l’un peut être utilisé pour la gestion de cryptomonnaie
- Les entreprises qui traitent des paiements en cryptomonnaie et partagent des fichiers avec des tiers via des médias amovibles
- Toute personne qui a utilisé une clé USB d’un tiers sur un ordinateur connecté à un portefeuille de cryptomonnaie
Il est important de souligner que le malware n’a pas besoin d’être sur la même machine que l’application de portefeuille pour poser une menace. Si le malware fonctionne sur un ordinateur que vous utilisez pour accéder aux plateformes de cryptomonnaie, copier des adresses de portefeuille ou gérer des phrases de récupération, ces credentials peuvent être capturés, peu importe où le logiciel de portefeuille réel est installé.
Comme TechJack Solutions l’a noté dans son analyse : « Cette menace ne vous affecte que si vous branchez une clé USB infectée sur un ordinateur Windows. Si vous n’utilisez pas de cryptomonnaie, votre principal risque est que quelqu’un accède à votre ordinateur, ce qui est sérieux mais nécessite que vous utilisiez d’abord une clé USB infectée. »
Recommandations d’atténuation de Microsoft
L’équipe de sécurité de Microsoft a publié un ensemble complet de recommandations de détection et de prévention pour la campagne CryptoBandits. Ce ne sont pas des mesures de protection théoriques – ce sont des contrôles pratiques et applicables que les organisations et les individus peuvent déployer immédiatement.
Désactiver AutoRun et AutoPlay pour les médias amovibles
L’étape la plus simple et la plus efficace est de désactiver les fonctionnalités AutoRun et AutoPlay pour les clés USB et autres médias amovibles. Cela empêche l’exécution automatique de code malveillant lorsqu’un périphérique USB est connecté. Sur Windows, cela peut être configuré via la stratégie de groupe ou l’application Paramètres.
Bloquer l’exécution de LNK à partir de clés USB
Les organisations avec des configurations de sécurité avancées peuvent utiliser la stratégie de groupe pour bloquer l’exécution de fichiers .lnk (raccourci) provenant de périphériques amovibles. Bien que cela puisse causer des inconvénients dans les environnements où le partage de fichiers USB est courant, cela élimine le vecteur d’infection principal de cette campagne.
Restreindre Windows Script Host
Le malware repose fortement sur Windows Script Host (wscript.exe et cscript.exe) pour ses fonctionnalités principales. Restreindre ou surveiller l’utilisation de ces interpréteurs peut réduire considérablement la capacité du malware à fonctionner. Les politiques de contrôle des applications peuvent être utilisées pour bloquer wscript.exe et cscript.exe de se lancer sauf si explicitement requis par une application légitime.
Surveiller l’activité de proxy Tor sur le port 9050
L’un des indicateurs comportementaux les plus forts d’une infection CryptoBandits est un proxy Tor local écoutant sur le port 9050. Microsoft recommande de surveiller les points de terminaison pour cette activité réseau spécifique. Si une connexion à localhost:9050 est détectée sur une machine qui n’a pas de client Tor intentionnellement installé, cela doit être traité comme un incident de sécurité à haute priorité.
Détection comportementale par rapport aux signatures statiques
Étant donné que le malware utilise une obfuscation à plusieurs niveaux et un décryptage en temps d’exécution, les solutions antivirus basées sur des signatures traditionnelles peuvent avoir du mal à le détecter. Microsoft recommande de prioriser la détection comportementale – en observant les comportements de processus inhabituels, les lancements de scripts inattendus et l’activité réseau anormale – plutôt que l’analyse statique de fichiers.
Analyses antivirus régulières et mises à jour
Maintenir Microsoft Defender ou une autre solution antivirus réputée à jour et exécuter des analyses complètes du système régulièrement peut aider à détecter les variantes de CryptoBandits. Microsoft Defender for Endpoint signalera les détections nommées Trojan:Win32/CryptoBandits.A, Trojan:Win32/CryptoBandits.B, Trojan:JS/CryptoBandits.A ou Trojan:JS/CryptoBandits.B.
Meilleures pratiques pour les utilisateurs de cryptomonnaie
Au-delà des contrôles de sécurité organisationnels, les utilisateurs individuels de cryptomonnaie devraient adopter un ensemble de bonnes habitudes opérationnelles de sécurité pour se protéger contre cette menace et des menaces similaires.
Ne jamais connecter de clés USB inconnues aux ordinateurs de cryptomonnaie
C’est la précaution la plus importante. Si vous gérez des cryptomonnaies sur un ordinateur, cette machine ne devrait jamais avoir de clé USB connectée à moins que vous ne soyez absolument certain de sa provenance. Méfiez-vous particulièrement des clés USB reçues lors de conférences, de collègues ou trouvées dans des lieux publics.
Vérifier chaque adresse de portefeuille caractère par caractère
L’attaque de remplacement d’adresse est conçue pour être invisible. L’adresse affichée dans votre presse-papiers après la copie peut sembler correcte, mais le malware a silencieusement substitué l’adresse de l’attaquant dans la fraction de seconde entre vos opérations de copier-coller. Avant d’exécuter toute transaction de cryptomonnaie, vérifiez toujours l’adresse complète caractère par caractère par rapport à une source connue fiable. Ne vous fiez pas uniquement aux premiers et derniers caractères, car le malware est conçu pour les préserver.
Utiliser un portefeuille matériel pour les avoirs importants
Les portefeuilles matériels stockent les clés privées dans un environnement sécurisé et isolé, immunitaire aux malware de surveillance du presse-papiers. Même si votre ordinateur est complètement compromis, un portefeuille matériel qui nécessite des appuis physiques de boutons pour confirmer les transactions ne peut pas être vidé à distance. Pour les avoirs importants en cryptomonnaie, ce n’est pas optionnel – c’est essentiel.
Isoler les ordinateurs d’activité de cryptomonnaie du partage USB
Dédiez un ordinateur spécifique aux activités de cryptomonnaie qui n’est jamais utilisé pour la gestion générale de fichiers, les connexions de clés USB ou les pièces jointes de courriel. Cette machine ne devrait avoir aucun accès aux médias amovibles, une navigation Internet restreinte et des contrôles d’applications stricts.
Perspective et scénarios
La campagne CryptoBandits n’est pas juste un autre malware. Elle représente une convergence de plusieurs tendances préoccupantes dans le paysage de la cybersécurité qui se développent depuis des années.
Premièrement, l’utilisation de médias physiques (clés USB) comme vecteur d’infection principal est un retour aux premiers jours des virus informatiques, et elle est délibérément choisie parce que les défenses de sécurité modernes se concentrent presque exclusivement sur les menaces basées sur le réseau. Les piles de sécurité d’entreprise sont optimisées pour le filtrage des courriels, la protection de navigation Web et la détection d’intrusions réseau. Les clés USB passent souvent sans examen ces défenses, surtout lorsqu’elles sont utilisées dans des environnements à cloisonnement fortuit ou semi-fortuit.
Deuxièmement, l’infrastructure C2 basée sur Tor établit une nouvelle norme pour la sécurité opérationnelle dans le malware à motivation financière. Les campagnes de malware traditionnelles utilisent souvent des adresses IP ou des domaines dédiés pour le C2, qui peuvent être traqués, bloqués ou saisis. En acheminant tout le trafic C2 exclusivement via des services cachés Tor, les opérateurs de CryptoBandits ont rendu leur infrastructure extraordinairement résiliente aux efforts d’arrêt.
Troisièmement, l’ajout d’exécution de code à distance via la commande EVAL signifie que ce n’est plus seulement un outil de vol de cryptomonnaie. C’est une portière pleinement capable qui donne à l’attaquant une présence persistante sur la machine infectée, la capacité d’installer des malware supplémentaires, de pivoter vers d’autres systèmes sur le même réseau et de mener de l’espionnage ou du sabotage au besoin.
Comme Microsoft l’a noté : « L’exécution de ce clipper est notable car elle ne dépend pas d’un installateur traditionnel ou d’une infrastructure C2 basée sur des IP exposées. Au lieu de cela, elle déploie un client Tor portable, achemine le trafic via un proxy SOCKS5 local, et mélange le vol de données avec l’exécution de code à distance, transformant un voleur à motivation financière en portière légère. »
La campagne CryptoBandits est un rappel sobre que certaines des menaces les plus dangereuses dans l’écosystème des cryptomonnaie ne proviennent pas de piratages d’échanges ou d’exploitations de smart contracts – elles proviennent de vecteurs d’attaque anciens, dépendants de l’humain, qui exploitent la confiance, la commodité et l’hypothèse que « cela ne m’arrivera pas. »
La capacité du malware à se propager silencieusement via des clés USB, à masquer son trafic réseau dans Tor, à voler des phrases de récupération et des clés privées depuis le presse-papiers, à remplacer les adresses de portefeuilles au moment de la transaction et à exécuter du code arbitraire à distance en fait l’une des menaces les plus complètes et dangereuses ciblant les cryptomonnaies documentées ces dernières années.
La bonne nouvelle est que cette menace n’est pas invincible. Une hygiène de cybersécurité de base – ne pas brancher de clés USB inconnues, vérifier les adresses de portefeuille caractère par caractère, utiliser des portefeuilles matériels, maintenir les logiciels à jour et surveiller les indicateurs comportementaux publiés par Microsoft – peut fournir une protection solide contre cette campagne et des campagnes similaires.
Les quatre mois d’avance que CryptoBandits a déjà obtenus rappellent que lorsqu’il s’agit de cybersécurité, attendre qu’une alerte devienne une crise est déjà trop tard.
Sources
- Microsoft Security Blog – Crypto Clipper uses Tor and worm-like propagation for persistence and control (June 17, 2026)
- The Hacker News – Microsoft Details Windows Clipper Malware Campaign Using USB LNK Worm and Tor-Based C2 (June 18, 2026)
- BleepingComputer – USB worm spreads crypto-stealing malware via Windows shortcut files
- CyberInsider – Microsoft warns of USB worm-like malware using Tor for stealth
- GridInSoft – Trojan:Win32/CryptoBandits.A USB Clipper Warning
- CoinAcademy – Malware crypto : Microsoft alerte sur un virus via USB
Cet article est publié à titre informatif et éducatif. Il ne constitue en aucun cas un conseil en investissement. Faites vos propres recherches (DYOR) avant toute décision.
