Microsoft Threat Intelligence et Microsoft Defender Experts ont indiqué avoir identifié un clipper crypto sous Windows qui frappe des utilisateurs depuis février 2026. Le malware se propage via des raccourcis .lnk malveillants et des clés USB, lance un proxy Tor intégré via Windows Script Host et ActiveX, et se connecte à des serveurs de commande-et-contrôle en services cachés.
Why it matters
La boîte à outils de l'opérateur va bien au-delà du classique swap d'adresse. Microsoft précise que le malware peut voler les données du presse-papiers, exfiltrer des phrases de récupération et des clés privées, capturer des captures d'écran, et réécrire les adresses de portefeuille de destination dans le presse-papiers — ce qui signifie qu'une seule machine infectée peut vider les hot wallets, les software wallets et tout flux de travail consistant à coller une adresse avant un envoi. Microsoft Defender Antivirus détecte cette famille sous le nom Trojan:Win32/CryptoBandits.A.
Market impact
Le vecteur hors ligne — clés USB et fichiers de raccourcis plutôt que pages de phishing — est l'aspect que la communauté sécurité va étudier de plus près, car il contourne les protections e-mail et navigateur sur lesquelles s'appuient la plupart des utilisateurs particuliers. Pour les investisseurs, la lecture pratique reste inchangée : conserver les soldes significatifs hors des machines connectées à Internet, vérifier les adresses caractère par caractère sur l'écran d'un hardware wallet, et traiter tout hôte Windows qui touche à une phrase de récupération comme compromis pour le stockage froid par défaut.
Stay safe
Microsoft Defender détecte et met automatiquement en quarantaine cette famille, mais les clippers à propagation hors ligne ont tendance à persister sur les machines mal patchées. Lancez une analyse Defender complète, auditez toute clé USB ayant touché des hôtes inconnus, et supposez que toute machine utilisée pour générer ou coller une phrase de récupération n'est plus sûre pour cet usage.
Questions fréquemment posées
-
Qu'est-ce que Trojan:Win32/CryptoBandits.A ?
C'est le nom de détection Microsoft Defender pour une famille de clippers crypto sous Windows active depuis février 2026. Il se propage via des raccourcis .lnk malveillants et des clés USB, exécute un proxy Tor intégré et se connecte à des serveurs C2 en services cachés.
-
Comment ce malware clipper vole-t-il réellement des cryptos ?
Il peut exfiltrer les données du presse-papiers, les phrases de récupération et les clés privées, capturer des captures d'écran, et réécrire les adresses de portefeuille de destination dans le presse-papiers, si bien qu'un seul hôte infecté peut vider des hot wallets de bout en bout.
-
Pourquoi le vecteur de propagation via USB et raccourci .lnk est-il significatif ?
Il contourne les protections e-mail et navigateur sur lesquelles s'appuient la plupart des utilisateurs particuliers. Le malware atteint un hôte hors ligne, donc les défenses anti-phishing standard n'arrêtent pas l'infection initiale.
-
Microsoft Defender protège-t-il contre ce clipper ?
Oui. Microsoft Defender Antivirus détecte la famille sous le nom Trojan:Win32/CryptoBandits.A et la met automatiquement en quarantaine. Une analyse Defender complète attrapera les infections sur un hôte.
-
Que doivent faire les détenteurs de cryptos si une machine Windows est infectée ?
Auditez toute clé USB ayant touché l'hôte, lancez une analyse Defender complète, et traitez toute machine utilisée pour générer ou coller une phrase de récupération comme compromise pour le stockage froid. Déplacez les fonds vers un wallet neuf dont la phrase n'a jamais vécu sur la machine affectée et tournez les…
TheBlock
CoinTelegraph
CryptoSlate
Crypto Rank News