Malware Crypto Clipper : quand une simple clé USB infecte votre PC et vide vos portefeuilles crypto

Les campagnes de malwares évoluent constamment pour contourner les défenses des utilisateurs et des entreprises. Une nouvelle menace, identifiée par les équipes de Microsoft Threat Intelligence, illustre cette tendance : un malware baptisé Crypto Clipper, diffusé via des clés USB, qui combine vol de données financières, capture d’écran et exécution de code à distance. Depuis février 2026, ce logiciel malveillant s’infiltre dans les systèmes Windows, cible les portefeuilles cryptographiques et se propage de manière autonome sur les supports amovibles. Contrairement aux attaques classiques qui reposent sur des téléchargements ou des liens infectés, cette campagne exploite la confiance accordée aux périphériques USB, transformant un simple support de stockage en vecteur de compromission.

Ce qui distingue cette souche, c’est sa double fonctionnalité : elle agit à la fois comme un voleur de données (infostealer) et comme une porte dérobée (backdoor). Les attaquants peuvent ainsi non seulement voler des identifiants de portefeuilles crypto, mais aussi exécuter des commandes arbitraires sur les machines infectées. Cette capacité à maintenir un accès persistant ouvre la porte à des attaques ultérieures, comme le ransomware ou l’espionnage. L’absence de dépendance à un serveur de commande et contrôle (C2) exposé publiquement rend la détection encore plus difficile, car le malware utilise le réseau Tor pour communiquer de manière chiffrée avec ses opérateurs.

Un malware qui exploite le copier-coller et les raccourcis Windows

Le fonctionnement du Crypto Clipper repose sur une technique bien connue des cybercriminels : l’interception des données du presse-papiers. Dès qu’un utilisateur copie une adresse de portefeuille crypto ou une phrase de récupération (mnémonique BIP39), le malware remplace instantanément cette information par celle contrôlée par les attaquants. Cette substitution se produit si rapidement que la victime ne remarque généralement rien, surtout si elle est habituée à copier-coller des adresses longues et complexes. Parallèlement, le malware capture des captures d’écran du bureau de la victime, permettant aux attaquants de collecter des indices supplémentaires sur les logiciels ou services utilisés.

Pour assurer sa propagation, le Crypto Clipper exploite une fonctionnalité trompeuse des clés USB : il masque des fichiers légitimes et les remplace par des raccourcis malveillants. Lorsqu’un utilisateur clique sur ces raccourcis, souvent nommés de manière anodine (comme "Document.docx.lnk"), le malware s’exécute automatiquement. Ce mécanisme de propagation automatique via les supports amovibles rappelle les attaques de type "autorun", très répandues il y a une décennie, mais modernisées pour échapper aux antivirus actuels. Les fichiers infectés sont copiés sur chaque clé USB insérée dans la machine compromise, ce qui permet une diffusion rapide au sein des réseaux locaux ou familiaux.

Une installation discrète et une infrastructure de commande et contrôle sophistiquée

L’installation initiale du malware est particulièrement discrète. Deux charges utiles JavaScript obfusquées sont déposées dans le répertoire Documents de l’utilisateur, puis un planificateur de tâches Windows est créé pour exécuter à la fois le composant voleur de données et le ver de propagation. Contrairement à de nombreux malwares qui nécessitent une interaction utilisateur, ce planificateur permet une exécution automatique, même en l’absence de l’utilisateur. Une fois installé, le malware installe également une copie de Tor sur la machine, mais la renomme "ugate.exe" pour la faire passer pour un service système légitime. Cette binaire masquée communique ensuite avec des adresses "onion" (sites accessibles uniquement via le réseau Tor), rendant le trafic de commande et contrôle indétectable par les outils de surveillance classiques.

Cette infrastructure de commande et contrôle décentralisée et chiffrée offre aux attaquants plusieurs avantages stratégiques. D’une part, elle leur permet de maintenir un accès persistant aux machines infectées, même si l’adresse IP de la victime change ou si le réseau local est modifié. D’autre part, elle facilite la mise à jour du malware à distance, permettant aux cybercriminels d’ajouter de nouvelles fonctionnalités ou d’adapter leurs techniques en temps réel. La combinaison de Tor, de la capture d’écran et de l’exécution de code à distance donne aux attaquants à la fois des moyens immédiats de monétisation (via le vol de crypto-monnaies) et un contrôle continu sur les systèmes compromis.

Cibles privilégiées : phrases mnémoniques et clés privées de Bitcoin et Ethereum

Le Crypto Clipper se concentre sur les artefacts financiers de haute valeur, en priorité les phrases mnémoniques BIP39 (utilisées pour la récupération des portefeuilles crypto) et les clés privées de Bitcoin (BTC) et d’Ethereum (ETH). Ces éléments, une fois volés, permettent aux attaquants de vider intégralement les portefeuilles des victimes sans avoir besoin d’accéder à leurs appareils physiques. Pour maximiser les chances de succès, le malware surveille en permanence le presse-papiers, prêt à intercepter toute séquence qui ressemble à une clé privée ou à une phrase de récupération. Cette approche ciblée explique pourquoi les utilisateurs de portefeuilles auto-hébergés (comme Electrum, Ledger ou Trezor) sont particulièrement exposés, ainsi que ceux qui manipulent régulièrement des clés privées dans des environnements de développement.

Les conséquences d’une infection par ce malware vont bien au-delà du simple vol de crypto-monnaies. En transformant la machine en une porte dérobée, les attaquants peuvent exécuter des commandes arbitraires, installer des logiciels supplémentaires ou exfiltrer d’autres données sensibles. Par exemple, ils pourraient déployer un ransomware pour chiffrer les fichiers locaux, ou utiliser la machine comme relais pour des attaques ultérieures contre d’autres systèmes. Cette polyvalence fait du Crypto Clipper une menace hybride, à la croisée du cybercrime financier et de l’espionnage ou sabotage informatique.

Pourquoi les clés USB restent un vecteur d’attaque redoutable

Malgré les mises en garde répétées, les clés USB restent un vecteur de compromission efficace pour plusieurs raisons. D’abord, les utilisateurs leur font naturellement confiance, car elles sont souvent partagées entre collègues, amis ou membres de la famille. Ensuite, les systèmes d’exploitation modernes exécutent automatiquement certains fichiers (comme les raccourcis .lnk) dès qu’un périphérique est inséré, sans nécessiter d’action utilisateur supplémentaire. Enfin, les malwares comme le Crypto Clipper exploitent des fonctionnalités légitimes de Windows (comme le planificateur de tâches) pour persister et se propager, ce qui les rend difficiles à détecter pour les outils de sécurité classiques.

Cette campagne rappelle que les attaques par support amovible n’ont pas disparu, bien au contraire. Elles ont simplement évolué pour contourner les protections modernes. Les entreprises et les particuliers doivent donc revoir leurs politiques de gestion des périphériques USB, en particulier dans les environnements où des données sensibles ou des crypto-monnaies sont manipulées. Une simple règle interdisant l’insertion de clés USB non vérifiées peut réduire considérablement le risque d’infection.

Comment se protéger contre cette menace ?

Pour les utilisateurs individuels, la première ligne de défense consiste à adopter des pratiques de sécurité strictes lors de la manipulation de crypto-monnaies. Il est recommandé d’éviter de copier-coller des adresses de portefeuilles ou des phrases mnémoniques, et de les saisir manuellement pour réduire le risque d’interception par le malware. L’utilisation d’un gestionnaire de mots de passe ou d’un portefeuille matériel (hardware wallet) peut également limiter l’exposition, car ces outils réduisent la nécessité de manipuler des clés privées directement sur un PC potentiellement infecté.

Pour les entreprises, la protection contre ce type de menace nécessite une approche multicouche. Les politiques de sécurité doivent explicitement interdire l’utilisation de clés USB non autorisées et imposer une analyse antivirus systématique des périphériques amovibles avant toute utilisation. Les outils de détection et réponse (EDR) peuvent identifier les comportements suspects, comme la création de tâches planifiées inconnues ou l’exécution de binaires masqués. Enfin, la formation des employés sur les risques liés aux supports amovibles et aux techniques de social engineering reste essentielle pour réduire la surface d’attaque.

Que faire en cas d’infection ?

Si un utilisateur suspecte une infection par le Crypto Clipper, plusieurs étapes doivent être suivies rapidement. D’abord, déconnecter immédiatement la machine du réseau pour limiter la propagation du malware. Ensuite, analyser le système avec un antivirus à jour ou un outil de désinfection spécialisé, en prêtant une attention particulière aux répertoires Documents et aux tâches planifiées. Il est également conseillé de réinitialiser les phrases mnémoniques et les clés privées des portefeuilles crypto, car même après une désinfection, des copies des données volées pourraient circuler sur les serveurs des attaquants.

Dans un contexte professionnel, une analyse forensique approfondie est nécessaire pour identifier l’étendue de la compromission et éliminer toute trace du malware. Les équipes de sécurité doivent également surveiller les connexions sortantes vers des adresses Tor et vérifier si d’autres machines du réseau ont été infectées via les clés USB. Enfin, il est crucial de signaler l’incident aux autorités compétentes et d’informer les parties prenantes concernées, notamment si des données sensibles ou des actifs crypto ont été compromis.

Perspectives : une évolution inévitable des malwares ciblant la crypto

Cette campagne de Crypto Clipper marque une nouvelle étape dans l’évolution des malwares ciblant les crypto-monnaies. En combinant vol de données, exécution de code à distance et propagation autonome, les attaquants montrent qu’ils sont capables de créer des outils toujours plus sophistiqués et difficiles à détecter. À l’avenir, on peut s’attendre à voir des variantes encore plus furtives, exploitant des vulnérabilités zero-day ou des techniques de contournement des EDR. Les utilisateurs et les entreprises doivent donc adopter une posture de sécurité proactive, en combinant prévention, détection et réponse rapide.

Les développeurs de portefeuilles crypto et les plateformes d’échange devraient également renforcer leurs mécanismes de protection contre les attaques par interception de presse-papiers et les substitutions d’adresses. Des solutions comme la vérification manuelle des adresses ou l’utilisation de codes QR pour les transactions pourraient réduire les risques. De plus, les régulateurs et les acteurs de la cybersécurité doivent collaborer pour partager des informations sur les nouvelles menaces et développer des contre-mesures adaptées. La lutte contre les malwares comme le Crypto Clipper ne peut être efficace que si elle repose sur une approche collective et une vigilance constante.