Chargement des prix…
Zipp Zipp Faire de la publicité
S'inscrire Se connecter
🩸BEARISH CoinDesk

Microsoft alerte : un ver USB vole les adresses BTC et ETH

CryptoBandits illustre une escalade discrète : détournement du presse-papiers et substitution d'adresse en direct lors d'un copier-coller transforment un simple branchement de clé USB en vidage complet de portefeuille, avec exfiltration via Tor pour…

Microsoft alerte : un ver USB vole les adresses BTC et ETH
Microsoft alerte : un ver USB vole les adresses BTC et ETH
Microsoft alerte : un ver USB vole les adresses BTC et ETH
Microsoft alerte : un ver USB vole les adresses BTC et ETH
Microsoft alerte : un ver USB vole les adresses BTC et ETH
Microsoft alerte : un ver USB vole les adresses BTC et ETH
Microsoft alerte : un ver USB vole les adresses BTC et ETH
Microsoft alerte : un ver USB vole les adresses BTC et ETH

Microsoft a rendu public un logiciel malveillant qu'il qualifie de « crypto clipper », qui se propage depuis février via des clés USB infectées et détourne les portefeuilles de cryptoactifs sous Windows. Détecté par Defender sous le nom Trojan:Win32/CryptoBandits, le ver s'installe via un raccourci .lnk malveillant, s'exécute en arrière-plan et attend l'arrivée de nouvelles clés USB pour recommencer le cycle.

Une fois dans la machine, le composant de vol de portefeuille interroge le presse-papiers de Windows environ toutes les 500 millisecondes, à l'affût des phrases de seed et des clés privées associées aux portefeuilles Bitcoin et Ethereum. Lorsqu'il détecte un transfert en cours de préparation, le logiciel malveillant remplace silencieusement l'adresse du destinataire par une adresse contrôlée par l'attaquant : un simple copier-coller peut ainsi rediriger les fonds vers le mauvais portefeuille sans aucun indice visible. Les données capturées dans le presse-papiers sont exfiltrées via le réseau Tor, accompagnées de cinq captures d'écran prises à dix secondes d'intervalle, afin de masquer la localisation de l'opérateur.

Le mécanisme de propagation est ce qui donne à la campagne sa durabilité. Lorsqu'une clé USB saine est insérée dans un PC déjà infecté, le ver recherche les documents ordinaires — fichiers Word, feuilles Excel, PDF — puis remplace chacun d'eux par un raccourci au nom identique qui relance la chaîne d'infection. Les documents d'origine sont mis hors de vue, et le cycle se répète dès que cette clé arrive dans une autre machine.

Pourquoi c'est important

CryptoBandits est une menace hybride : un stealer, un détournement de presse-papiers et un ver auto-propageant réunis dans un même paquet. La plupart des malwares voleurs de portefeuilles arrivent via des pages de phishing ou des extensions de navigateur malveillantes, où un utilisateur vigilant peut souvent démasquer le piège. Un ver véhiculé par USB contourne entièrement cette porte d'entrée et fait du support physique le vecteur de contamination — c'est ce que Microsoft a signalé comme un comportement inhabituel.

La substitution d'adresse en direct est la moitié la plus dangereuse de la conception. Les stealers de presse-papiers classiques enregistrent les phrases de seed et les clés privées, puis attendent que l'utilisateur effectue une transaction pour tenter de la devancer. CryptoBandits, lui, réécrit la destination en temps réel : un utilisateur qui revérifie l'adresse après l'avoir collée voit toujours la chaîne de l'attaquant, et non celle qu'il avait copiée à l'origine.

Tokens associés
$BTC $ETH
#CryptoBandits#CryptoClipper#Windows#PrivateKeys

Questions fréquemment posées

  1. Qu'est-ce que Trojan:Win32/CryptoBandits et que fait-il ?

    C'est un ver de type crypto clipper nommé par Microsoft, qui se propage via des clés USB infectées, surveille le presse-papiers de Windows à la recherche de phrases de seed et de clés privées, et remplace silencieusement les adresses de destinataire lors des transferts de cryptoactifs.

  2. Comment le malware vole-t-il des cryptos dans un portefeuille ?

    Une fois installé, il interroge le presse-papiers environ toutes les 500 millisecondes pour repérer les phrases de seed et clés privées liées aux portefeuilles Bitcoin et Ethereum, exfiltre les données via Tor, et remplace une adresse de destinataire copiée par une adresse contrôlée par l'attaquant avant que…

  3. Comment le ver se propage-t-il d'une machine à l'autre ?

    Il se propage via des clés USB : lorsqu'une clé saine est insérée dans un PC infecté, le ver remplace les documents ordinaires — Word, Excel, PDF — par des raccourcis .lnk au nom identique qui relancent la chaîne d'infection. Les originaux sont masqués, et le cycle se répète dès que cette clé arrive dans une autre…

  4. Depuis quand CryptoBandits est-il actif ?

    Microsoft a indiqué que le malware se propageait depuis février via des clés USB infectées pour cibler les portefeuilles de cryptoactifs des utilisateurs Windows.

  5. Comment les utilisateurs et les équipes de sécurité peuvent-ils se défendre contre CryptoBandits ?

    Microsoft recommande de désactiver l'exécution automatique des supports amovibles, de bloquer l'exécution des fichiers .lnk sur les clés USB via une stratégie de groupe, de restreindre les hôtes de script comme wscript.exe et cscript.exe, de surveiller la télémétrie de Defender à la recherche de connexions locales…

Attribution de la source
Agrégé de CoinDesk · Vérifié · Dernière mise à jour il y a 2h
Ouvrir l'original →

Plus de Sécurité

Histoires que nos éditeurs pensent bien s'accorder avec celle-ci.

Plus ancien dans Sécurité

Rattrapez les couvertures antérieures de ce sujet.