Les meilleures analyses crypto directement dans votre boîte mail.
Microsoft signale un logiciel malveillant sous Windows qui vole les phrases de récupération, les clés et les portefeuilles numériques via Tor et les clés USB
Collins J. Okoth
- Microsoft Threat Intelligence a tracun programme de piratage de cryptomonnaies Windows, baptisé CryptoBandits, actif depuis février 2026.
- Le logiciel malveillant se propage via des fichiers raccourcis USB piégés, puis se cache dans le réseau Tor pour voler des phrases de récupération, des clés privées et échanger des adresses de portefeuille copiées.
- Au-delà du vol, il peut exécuter du code fourni par un attaquant sur des machines infectées, transformant un simple voleur de presse-papiers en une porte dérobée fonctionnelle.
Microsoft a signalé un programme malveillant qui opère discrètement depuis février et cible les ordinateurs Windows. Ce programme, baptisé CryptoBandits, peut dérober des phrases de récupération, des clés et des portefeuilles numériques via le réseau Tor et est transférable par clés USB.
Dans un article publié le 17 juin, les experts de Microsoft Threat Intelligence et de Microsoft Defender ont révélé une campagne malveillante qui vidait les portefeuilles de cryptomonnaies à l'insu des victimes. Les experts en sécurité de Microsoft ont décrit une combinaison de techniques classiques de ver USB et d'outils d'anonymisation modernes qui ont rendu le programme malveillant indétectable pendant des mois.
D'après les chercheurs, cette campagne malveillante permettait d'exécuter, au sein d'un seul programme, le vol de contenu du presse-papiers, le remplacement d'adresses de portefeuilles numériques, la propagation de virus et la communication via le réseau Tor. De plus, le programme conservait un accès à la machine locale longtemps après l'exécution du code malveillant.
Microsoft explique comment l'infection se déroule
L'article détaillé publié sur le blog de Microsoft révèle que l'infection débute de manière classique, via une clé USB. Le logiciel malveillant accède ensuite aux fichiers de raccourci placés sur les périphériques amovibles. Une fois la clé connectée à un ordinateur, le ver s'active immédiatement.
Le ver informatique repère les fichiers courants (docs, tableurs, PDF, etc.) sur l'appareil, masque les fichiers originaux et les remplace par de faux raccourcis portant les mêmes noms. Une fois cette opération effectuée, les utilisateurs Windows, croyant ouvrir un fichier Word ou Excel classique, cliquent sur ces raccourcis, mais cette action déclenche en réalité le logiciel malveillant.
Le logiciel malveillant se propage ensuite à la clé USB de la machine et configure des tâches planifiées pour le maintenir en fonctionnement après un redémarrage, tout en s'excluant des analyses de Microsoft Defender.
Lorsque le clipper proprement dit est activé dans la deuxième phase, la charge utile basée sur un script s'appuie sur Windows ScriptHost et les objets Active X plutôt que sur un programme d'installation classique, ce qui la rend extrêmement difficile à détecter.
Une fois la configuration terminée, le logiciel malveillant lance un client Tor dans une fenêtre cachée, génère un identifiant unique pour la victime et s'enregistre auprès d'un serveur de commande et de contrôle dissimulé derrière une adresse Tor. De cette manière, il peut transmettre des informations via ce canal caché sans être détecté.
Microsoft explique pourquoi ce logiciel malveillant est plus difficile à détecter
L'équipe de sécurité de Microsoft a expliqué que le logiciel malveillant s'exécute en boucle, interrogeant ses opérateurs et analysant le presse-papiers environ toutes les demi-secondes. Le programme est spécifiquement conçu pour reconnaître les phrases d'amorçage BIP39 de 12 ou 24 mots.
Le logiciel malveillant recherche Ethereum et Bitcoin au format WIF, en effectue une copie locale, puis la transfère au serveur des attaquants via le réseau Tor. Il est conçu pour répéter cette séquence d'opérations jusqu'à ce que le transfert réussisse. Une fois le transfert réussi, le programme supprime la copie locale et prend plusieurs captures d'écran par seconde, permettant ainsi aux attaquants de visualiser le solde et l'activité du portefeuille de la victime.
Si une adresse de portefeuille apparaît dans le presse-papiers, le logiciel malveillant peut la remplacer par une adresse contrôlée par l'attaquant avant même que la victime ne la colle. Copiez une adresse Bitcoin pour envoyer un paiement, et l'adresse qui apparaîtra dans le champ de destination pourrait appartenir à quelqu'un d'autre.
Microsoft Defender Antivirus signale désormais la menace comme étant Trojan:Win32/CryptoBandits.A, et Defender for Endpoint surveille les comportements tels que les processus JavaScript suspects et l'exfiltration de données via curl.
Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Collins J. Okoth
Collins Okoth est journaliste et analyste de marché, fort de huit ans d'expérience dans le secteur des cryptomonnaies et des technologies. Analyste financier certifié, il est également titulaire d'un diplôme enmaticactuarielles. Collins a précédemment travaillé comme rédacteur et éditeur pour Geek Computer et CoinRabbit.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)