Une menace USB pour vos portefeuilles crypto : comment ce malware vole vos clés privées

Un ver informatique actif depuis février cible les utilisateurs de Windows

Microsoft a identifié un malware en circulation depuis février 2026 qui se propage principalement via des clés USB infectées et s’attaque aux portefeuilles cryptographiques installés sur des ordinateurs sous Windows. Baptisé Trojan:Win32/CryptoBandits par l’éditeur, ce ver informatique exploite une faille bien connue : la confiance accordée aux fichiers raccourcis (.lnk) présents sur les supports amovibles. Lorsqu’un utilisateur insère une clé USB préalablement infectée, le ver remplace des fichiers légitimes par des raccourcis malveillants. Ces derniers, une fois exécutés, déclenchent l’installation silencieuse du malware sur la machine hôte.

Une fois installé, le ver ne se contente pas de s’exécuter : il se propage activement. Dès qu’une clé USB propre est branchée sur un PC infecté, le malware copie les fichiers sains de la clé et les remplace par ses propres raccourcis malveillants. Cette technique de réplication automatique permet à la menace de toucher des réseaux entiers, y compris des environnements professionnels où les échanges de données via supports amovibles sont fréquents. Les attaquants misent sur la méconnaissance des utilisateurs concernant les risques liés aux fichiers .lnk et sur la commodité d’utilisation des périphériques USB, ce qui en fait une méthode de propagation particulièrement efficace.

Le fonctionnement du malware : un voleur de clés privées et un pirate d’adresses

Une fois installé sur un système Windows, CryptoBandits active plusieurs mécanismes de compromission simultanés. Son principal outil ? Le presse-papiers. Le malware surveille en permanence les données copiées par l’utilisateur, notamment les phrases de récupération, les clés privées et les adresses de portefeuilles cryptographiques. Dès qu’une clé privée ou une phrase de récupération est détectée, le ver l’exfiltre via le réseau Tor vers des serveurs contrôlés par les attaquants.

Mais l’aspect le plus dangereux réside dans sa capacité à intercepter et modifier les adresses de destination. Lorsque l’utilisateur copie une adresse de portefeuille pour effectuer un transfert, le malware remplace automatiquement cette adresse par celle d’un portefeuille contrôlé par les cybercriminels. Ainsi, même si l’utilisateur vérifie visuellement l’adresse avant de valider la transaction, il envoie en réalité ses fonds vers le compte des attaquants. Ce type d’attaque, appelé crypto clipper, exploite la distraction ou la précipitation des utilisateurs, qui ne remarquent pas toujours le changement d’adresse dans l’interface de leur portefeuille.

Les chercheurs de Microsoft ont également observé que le malware utilise des techniques d’évasion pour éviter la détection. Il se cache dans des processus système légitimes, modifie les entrées de registre pour persister après un redémarrage, et communique via le réseau Tor pour masquer son trafic. Cette combinaison de méthodes rend le ver particulièrement résistant aux outils de sécurité classiques, qui peinent à distinguer les activités malveillantes des opérations normales du système.

Une propagation facilitée par la confiance accordée aux périphériques USB

L’un des aspects les plus préoccupants de cette menace réside dans sa méthode de propagation, qui repose sur la confiance implicite des utilisateurs envers les supports de stockage amovibles. Les clés USB sont omniprésentes dans les environnements professionnels et personnels, que ce soit pour transférer des fichiers, partager des documents ou sauvegarder des données. Pourtant, cette commodité en fait une cible de choix pour les attaquants.

CryptoBandits exploite cette confiance en se propageant de manière silencieuse et automatique. Lorsqu’une clé USB est insérée dans un PC infecté, le malware scanne son contenu et remplace les fichiers sains par des raccourcis .lnk malveillants. Ces raccourcis, souvent identiques en apparence aux fichiers originaux, lancent l’exécution du malware dès qu’ils sont ouverts. Les utilisateurs, habitués à utiliser ces raccourcis sans méfiance, deviennent ainsi des vecteurs de propagation involontaires.

Cette technique rappelle les attaques par autorun, très répandues il y a une dizaine d’années, mais adaptées aux spécificités des systèmes modernes. Contrairement aux anciens vers qui exploitaient directement l’Autorun, CryptoBandits utilise des fichiers .lnk pour contourner les protections intégrées de Windows, qui désactivent souvent l’exécution automatique des programmes sur les supports amovibles. En remplaçant des fichiers par des raccourcis, le malware contourne ces restrictions et s’installe sans que l’utilisateur n’ait à exécuter manuellement un exécutable.

Les recommandations de Microsoft pour se protéger

Face à cette menace, Microsoft a publié une série de recommandations techniques visant à limiter l’impact de CryptoBandits et à empêcher sa propagation. Ces mesures s’adressent aussi bien aux particuliers qu’aux entreprises, où les risques de contamination en cascade sont élevés.

La première étape consiste à désactiver l’exécution automatique des fichiers .lnk sur les supports amovibles. Cette fonctionnalité, bien que pratique, est souvent exploitée par les malware pour s’installer sans interaction de l’utilisateur. Pour ce faire, les administrateurs système et les utilisateurs peuvent modifier les stratégies de groupe (GPO) ou utiliser des outils comme Microsoft Safety Scanner pour bloquer l’exécution des raccourcis sur les périphériques USB.

Ensuite, Microsoft recommande de bloquer l’exécution des scripts via les hôtes de script Windows (comme wscript.exe ou cscript.exe), qui sont souvent utilisés par les malware pour exécuter du code malveillant. Cette restriction peut être appliquée via des politiques de sécurité locales ou des solutions de protection avancées comme Microsoft Defender for Endpoint, qui permet de surveiller et de bloquer les activités suspectes en temps réel.

Enfin, les entreprises et les particuliers sont invités à vérifier régulièrement leurs réseaux à la recherche d’indicateurs de compromission (IOC) associés à CryptoBandits. Microsoft a publié une liste d’adresses IP, de noms de domaine et de hachages de fichiers connus pour être liés à ce malware. En croisant ces informations avec les logs de leur pare-feu ou de leur solution de sécurité, les utilisateurs peuvent détecter une éventuelle infection et prendre les mesures nécessaires pour l’éradiquer.

Pourquoi les portefeuilles cryptographiques sont des cibles privilégiées

Les cryptomonnaies attirent les cybercriminels en raison de leur caractère décentralisé et irréversible. Contrairement aux transactions bancaires traditionnelles, une fois qu’un transfert est effectué vers une adresse malveillante, il est virtually impossible de récupérer les fonds. Cette caractéristique en fait une cible idéale pour les attaques de type crypto clipper, où les attaquants remplacent discrètement les adresses de destination.

Les portefeuilles cryptographiques, qu’ils soient logiciels (comme MetaMask ou Trust Wallet) ou matériels (comme Ledger ou Trezor), stockent des informations sensibles : clés privées, phrases de récupération et adresses publiques. CryptoBandits cible spécifiquement ces données en surveillant le presse-papiers, un composant central de l’expérience utilisateur sous Windows. Lorsque l’utilisateur copie une adresse ou une clé privée, le malware intercepte cette information et l’exfiltre vers des serveurs distants.

De plus, les utilisateurs de cryptomonnaies sont souvent desearly adopters de nouvelles technologies, ce qui peut les rendre moins méfiants face aux risques de sécurité. Les attaques par crypto clipper exploitent cette confiance en se faisant passer pour des outils légitimes ou en utilisant des techniques de social engineering pour inciter les victimes à exécuter le malware. Par exemple, un utilisateur pourrait recevoir une clé USB "offert" lors d’un événement ou d’une conférence, et l’insérer sans méfiance sur son PC, déclenchant ainsi l’infection.

Les limites des protections traditionnelles face à ce type de menace

Les solutions de sécurité classiques, comme les antivirus traditionnels ou les pare-feux, peinent à détecter CryptoBandits en raison de ses techniques d’évasion avancées. Le malware utilise plusieurs mécanismes pour éviter la détection :

• Persistance : Il modifie les entrées de registre pour s’exécuter automatiquement au démarrage du système.
• Communication chiffrée : Le trafic vers les serveurs de commande et contrôle (C2) passe par le réseau Tor, ce qui rend le suivi difficile.
• Masquage : Il se cache dans des processus système légitimes, comme svchost.exe ou explorer.exe, pour échapper aux analyses.
• Changement de comportement : Le malware adapte ses actions en fonction de l’environnement, évitant de se déclencher sur des machines de test ou des environnements virtuels.

Ces techniques rendent CryptoBandits particulièrement difficile à éradiquer une fois installé. Les solutions de sécurité basées sur la signature (comme les antivirus classiques) sont inefficaces contre les variantes inconnues ou les souches modifiées du malware. Pour se protéger, les utilisateurs doivent donc adopter une approche multicouche, combinant prévention, détection et réponse.

Les entreprises, en particulier, doivent investir dans des solutions de Endpoint Detection and Response (EDR) ou de Managed Detection and Response (MDR), qui permettent de surveiller en temps réel les activités suspectes sur les postes de travail. Ces outils peuvent détecter des comportements anormaux, comme l’exfiltration de données vers des adresses IP inconnues ou la modification des adresses de portefeuilles dans le presse-papiers.

Que faire si vous suspectez une infection ?

Si vous pensez que votre ordinateur est infecté par CryptoBandits, voici les étapes à suivre pour limiter les dégâts et éradiquer la menace :

1. Déconnectez immédiatement tous les périphériques USB de votre PC et isolez la machine du réseau. Cela empêche le malware de se propager à d’autres appareils ou d’exfiltrer des données supplémentaires.
2. Exécutez une analyse complète avec un antivirus ou un outil de sécurité à jour, comme Microsoft Defender Offline ou Kaspersky Rescue Disk. Ces outils permettent de désinfecter le système même si le malware est actif en mémoire.
3. Révisez vos transactions cryptographiques. Si vous avez utilisé votre PC pour effectuer des transferts récemment, vérifiez les adresses de destination dans l’historique de votre portefeuille. Si vous avez envoyé des fonds vers une adresse inconnue, contactez immédiatement le support de votre plateforme d’échange ou de votre portefeuille pour signaler la fraude.
4. Changez vos phrases de récupération et vos clés privées. Si le malware a pu exfiltrer ces informations, les attaquants pourraient tenter d’accéder à vos portefeuilles. Utilisez un autre appareil sécurisé pour générer de nouvelles clés privées et phrases de récupération.
5. Vérifiez les autres machines de votre réseau, notamment celles qui ont été en contact avec le PC infecté. Les clés USB utilisées sur la machine compromise doivent être formatées ou détruites pour éviter une réinfection.

Comment éviter de futures infections ?

La prévention reste la meilleure défense contre les menaces comme CryptoBandits. Voici les bonnes pratiques à adopter pour se protéger :

• Désactivez l’Autorun pour les périphériques USB. Sous Windows, cela peut se faire via l’éditeur de stratégie de groupe (gpedit.msc) ou via PowerShell.
• Utilisez un portefeuille matériel pour stocker vos cryptomonnaies. Les portefeuilles matériels, comme ceux de Ledger ou Trezor, sont moins vulnérables aux attaques logicielles que les portefeuilles logiciels.
• Vérifiez toujours les adresses de destination avant d’effectuer un transfert. Copiez l’adresse manuellement ou utilisez la fonction de vérification intégrée de votre portefeuille pour confirmer l’adresse avant de valider.
• Évitez d’insérer des clés USB inconnues dans votre PC. Si vous devez utiliser une clé USB reçue d’une source non fiable, analysez-la d’abord avec un antivirus sur un autre appareil avant de l’utiliser.
• Mettez à jour régulièrement votre système d’exploitation et vos logiciels. Les correctifs de sécurité publiés par Microsoft et d’autres éditeurs comblent souvent des failles exploitées par les malware.
• Sensibilisez votre entourage, surtout si vous travaillez dans un environnement où les échanges de données via USB sont fréquents. Une simple méfiance peut empêcher la propagation d’une menace comme CryptoBandits.

Une menace qui rappelle l’importance de la cybersécurité proactive

L’émergence de CryptoBandits illustre une tendance inquiétante : les cybercriminels ciblent de plus en plus les actifs numériques, où les gains potentiels sont élevés et les risques de détection faibles. Contrairement aux attaques traditionnelles qui visent à voler des données ou à chiffrer des fichiers, les crypto clippers comme celui-ci cherchent à détourner des transactions en temps réel, ce qui les rend particulièrement rentables pour les attaquants.

Cette menace rappelle aussi que la sécurité ne se limite pas à l’installation d’un antivirus. Les utilisateurs doivent adopter une approche proactive, en comprenant les risques spécifiques liés à leur usage des cryptomonnaies et en appliquant les bonnes pratiques pour se protéger. Les entreprises, quant à elles, doivent investir dans des solutions de sécurité avancées et former leurs employés à reconnaître les signes d’une infection.

Enfin, cette affaire souligne l’importance de la collaboration entre les éditeurs de logiciels, les chercheurs en cybersécurité et les utilisateurs. Microsoft a joué un rôle clé en identifiant et en documentant cette menace, mais c’est aux utilisateurs de prendre les mesures nécessaires pour se protéger. Sans une vigilance constante, des menaces comme CryptoBandits continueront de prospérer, mettant en péril les actifs numériques de millions de personnes à travers le monde.