Skip to content
Blockchain Posts

infrastructure

Microsoft documente CryptoBandits, un voleur de cryptos sur Windows propagé par USB

Microsoft Defender détaille le 17 juin une famille active depuis février 2026 — clipboard hijacker, ver USB via raccourcis .lnk, C2 sur Tor — ciblant Bitcoin, Ethereum, Tron et Monero.

par 5 min de lecture
infrastructuresecuritebitcoinethereumwindows

Le 17 juin 2026, l'équipe Microsoft Threat Intelligence a publié sur le Microsoft Security Blog une dissection complète d'une famille de malware Windows baptisée Trojan:Win32/CryptoBandits — un ver USB combiné à un clipboard hijacker et un infostealer, conçu pour vider les portefeuilles crypto sur les machines infectées. La source primaire est le billet Crypto Clipper uses Tor and worm-like propagation for persistence and control, publié sous l'auteur collectif Microsoft Defender Antivirus. La famille est en activité depuis au moins février 2026 selon la télémétrie Microsoft.

Ce qu'a publié Microsoft

Le rapport est un write-up technique, pas un communiqué marketing. Il documente :

  • Vecteur d'infection. Des fichiers raccourci .lnk déposés sur des clés USB, déguisés en documents légitimes (.doc, .xlsx, .pdf). Les fichiers originaux sont masqués et remplacés par des raccourcis homonymes qui exécutent le composant ver à l'ouverture.
  • Propagation. À chaque insertion d'une nouvelle clé USB propre dans une machine déjà infectée, le binaire scanne le support, cache les fichiers existants et y crée des raccourcis empoisonnés portant les mêmes noms.
  • Composant clipper. Le module stealer lit le presse-papier toutes les ~500 millisecondes et y détecte les patterns d'adresses de portefeuille pour les remplacer silencieusement par celles contrôlées par l'attaquant — la victime colle alors une adresse différente de celle qu'elle pense avoir copiée.
  • Vol de phrases de récupération. Le même module exfiltre les seed phrases de 12 et 24 mots, ainsi que les clés privées Ethereum et identifiants de portefeuilles Bitcoin qui transitent par le presse-papier.
  • Command & Control sur Tor. Le malware embarque un client Tor portable et route ses communications via un proxy SOCKS5 local sur localhost:9050 vers des domaines .onion, ce qui complique le sinkholing et l'attribution.

L'identifiant complet de la famille côté Defender est Trojan:Win32/CryptoBandits.A, avec une variante .B et des variantes JavaScript détectées en parallèle.

Quels actifs sont ciblés

Le clipper supporte plusieurs formats d'adresses, ce qui en fait le détail le plus instructif sur le périmètre de l'opération :

Cryptomonnaies prises en charge (par expressions regulieres)
- Bitcoin   : adresses legacy (1...), P2SH (3...),
              Bech32 (bc1...) et Taproot
- Ethereum  : adresses 0x... (clipper + vol de cles privees brutes)
- Tron      : adresses T...
- Monero    : adresses 4...

Polling du presse-papier            : ~500 ms
Exfiltration des seed phrases       : 12 et 24 mots BIP-39
C2                                  : .onion via Tor / SOCKS5 localhost:9050
En activite depuis (telemetrie MS)  : fevrier 2026

Source : Microsoft Threat Intelligence, 17 juin 2026.

Le support Taproot est récent — il indique que l'opérateur a maintenu ses regex à jour avec l'adoption Bitcoin de ces derniers mois. Le support Monero est plus inhabituel pour un clipper : il rend l'opération viable sur des chemins de paiement où l'utilisateur attend précisément un format non-transparent.

Pourquoi c'est une histoire crypto, pas juste IT

Trois éléments distinguent CryptoBandits d'un stealer générique :

  1. Le presse-papier comme surface d'attaque finance. Acheter ou retirer des cryptos sur un exchange et coller son adresse de wallet est le geste opérationnel le plus banal du quotidien d'un utilisateur — c'est précisément ce geste qui est instrumentalisé. Pour un attaquant, l'utilisateur signe lui-même la transaction frauduleuse.
  2. Le vol des seed phrases. Le passage de seed phrases par le presse-papier — typique d'un setup de wallet sur nouveau matériel, d'une restauration ou d'un transfert vers un coffre — donne à l'attaquant le plein contrôle des fonds, indépendamment de toute transaction future.
  3. L'extension USB. Le facteur de propagation par périphérique amovible ramène une menace que beaucoup d'environnements pensaient résiduelle — il vise frontalement les postes air-gappés ou faiblement connectés souvent utilisés pour gérer du cold storage.

Coin Academy et Journal du Coin ont relayé le rapport en français le 19–20 juin, en soulignant le risque spécifique aux workflows de transfert vers les hardware wallets.

Mesures recommandées par Microsoft Defender

Le billet Defender liste cinq actions opérationnelles :

  1. Désactiver l'AutoRun / AutoPlay pour les supports amovibles via stratégie de groupe.
  2. Bloquer l'exécution des fichiers .lnk depuis les lecteurs amovibles, également via Group Policy.
  3. Restreindre les hôtes de script Windows : wscript.exe, cscript.exe.
  4. Activer les règles ASR (Attack Surface Reduction) qui ciblent les scripts obfusqués — ces règles déclenchent sur la première étape du payload.
  5. Chasser localement les connexions à localhost:9050 depuis des processus qui n'ont aucune raison de parler à un proxy SOCKS5 — c'est la signature réseau la plus immédiate.

Que surveiller

  1. Variantes signées et bypass Defender. Une variante signée ou packagée différemment qui contourne la détection actuelle est l'évolution attendue. Toute nouvelle entrée Trojan:Win32/CryptoBandits.* côté Defender est à suivre.
  2. Identification d'un cluster. Microsoft n'attribue pas l'opération à un groupe nommé. Une attribution publique par Mandiant, Recorded Future ou TRM Labs changerait l'image — la combinaison ver USB + Tor + clipper multi-actifs est suffisamment spécifique pour être pivotable.
  3. Cas d'usage documenté. Aucune perte chiffrée publique n'est encore attachée à cette famille. Un premier post-mortem d'utilisateur ou de custodian qui pointe CryptoBandits comme cause donnera une mesure financière à la menace.
  4. Réaction des fabricants de hardware wallet. Ledger, Trezor, Tangem et Coldcard avaient déjà publié sur le risque clipper en 2024–2025. Une mise à jour de leurs guides pour intégrer le vecteur USB-.lnk serait l'effet secondaire le plus immédiat.

Contexte — la sécurité opérationnelle reprend le dessus sur le code

L'année 2026 confirme un déplacement déjà visible : la majorité des pertes crypto les plus médiatisées ne viennent plus de bugs Solidity mais de compromissions opérationnelles. Les rapports d'avril (Drift, Kelp DAO) puis de juin (Humanity Protocol, Top Token) pointent tous, sous des formes différentes, vers le poste développeur, la clé multisig ou le portefeuille utilisateur comme point d'entrée. CryptoBandits est l'instrumentation industrielle du dernier maillon : non pas voler un dev, mais voler n'importe quel utilisateur Windows qui passe par son presse-papier.

Sources :

Articles liés