Microsoft Threat Intelligence et l’équipe Microsoft Defender Experts ont identifié un nouveau malware baptisé Trojan:Win32/CryptoBandits.A, actif depuis février 2026. Ce clipper Windows substitue les adresses de wallets copiées dans le presse-papiers, vole les phrases mnémotechniques et les clés privées, et communique via le réseau Tor pour masquer ses serveurs de commande.

En bref

Le logiciel malveillant se diffuse via des raccourcis .lnk infectés et des clés USB. Il exploite Windows Script Host et ActiveX pour lancer un proxy Tor intégré, puis se connecte à des serveurs C2 cachés sur le réseau oignon. Sa capacité de propagation autonome par USB en fait une menace au-delà des seuls environnements connectés.

Comment fonctionne le clipper CryptoBandits ?

Les équipes de Microsoft ont documenté une chaîne d’infection en plusieurs étapes. L’utilisateur ouvre un raccourci .lnk malveillant : reçu par mail, téléchargé depuis un dépôt compromis ou copié depuis une clé USB infectée. Ce fichier déclenche Windows Script Host, qui active un composant ActiveX pour déployer un proxy Tor embarqué. Le malware interroge ensuite des serveurs C2 hébergés en services cachés Tor, hors d’atteinte des listes de blocage classiques.

Une fois installé, CryptoBandits surveille le presse-papiers en continu. Dès qu’une adresse de wallet crypto y est détectée, il la remplace par une adresse contrôlée par l’attaquant. La transaction part vers le bon réseau mais vers le mauvais destinataire. Les captures d’écran sont également exfiltrées, de même que les phrases de récupération (seed phrases) et clés privées stockées localement.

Ce type d’attaque n’est pas nouveau : les malwares de type Godfather ciblant les applications crypto ou le trojan TrapDoor qui vide les wallets des développeurs utilisent des mécaniques similaires. CryptoBandits s’en distingue par son module de propagation autonome.

Pourquoi la diffusion par USB est-elle particulièrement dangereuse ?

Le composant ver (worm) de CryptoBandits lui confère une autonomie de propagation rare parmi les clippers crypto. Lorsqu’une clé USB est connectée à une machine infectée, le malware y dissimule les fichiers originaux et crée des raccourcis .lnk homonymes à leur place. L’utilisateur qui branche ensuite cette clé sur un autre poste : potentiellement hors ligne : déclenche le cycle d’infection.

Cette mécanique de propagation physique contourne les protections réseau et les environnements air-gapped partiels. Elle élargit le périmètre de victimes potentielles à des postes qui ne téléchargent rien depuis Internet. La persistance est assurée par des tâches planifiées Windows (Task Scheduler), ce qui rend le malware actif au démarrage sans intervention supplémentaire.

Les environnements professionnels : où les clés USB circulent entre collègues : présentent un risque de contamination en chaîne. C’est un vecteur sous-estimé dans les politiques de sécurité des entreprises qui diversifient leur exposition crypto sans renforcer parallèlement leur posture de cybersécurité.

Quelles sont les protections disponibles contre CryptoBandits ?

Microsoft Defender Antivirus détecte désormais la menace sous la signature Trojan:Win32/CryptoBandits.A. La mise à jour des définitions de Defender constitue donc le premier rempart. Microsoft recommande par ailleurs de maintenir Windows à jour, de désactiver l’exécution automatique des scripts via Windows Script Host si cette fonctionnalité n’est pas utilisée, et de contrôler les politiques d’exécution des fichiers .lnk provenant de sources externes.

Vecteur Mécanisme Protection recommandée
Fichier .lnk malveillant Exécution via Windows Script Host Désactiver WSH si inutilisé
Clé USB infectée Substitution de fichiers + raccourci clone Bloquer l’autorun USB en GPO
C2 via Tor Communication chiffrée, hors liste de blocage Bloquer Tor au niveau réseau
Presse-papiers Substitution d’adresse wallet Vérifier manuellement chaque adresse

Pour les détenteurs de crypto, la vérification manuelle des adresses reste le seul garde-fou infaillible côté utilisateur : comparer les 4 à 6 premiers et derniers caractères de l’adresse avant de valider toute transaction. Des wallets matériels comme Ledger ou Trezor affichent l’adresse sur leur propre écran, immunisant l’utilisateur contre la substitution clipboard. C’est un réflexe particulièrement pertinent dans le contexte d’une montée des menaces ciblant les outils crypto sous Windows.

La détection de CryptoBandits s’inscrit dans une tendance documentée : depuis le jeudi noir de l’univers crypto, les attaques par logiciels malveillants ciblant spécifiquement les détenteurs de cryptomonnaies se sont multipliées, avec des vecteurs de plus en plus diversifiés. Les clippers représentent aujourd’hui l’une des menaces les plus rentables pour les attaquants, car ils opèrent en silence, sans symptôme visible pour la victime.

Lecture du rédacteur La combinaison Tor + USB worm place CryptoBandits dans une catégorie de menaces plus sophistiquées que le clipper moyen. La propagation physique via USB et la communication via services cachés Tor indiquent un auteur qui a anticipé les défenses périmètriques habituelles. L’histoire du trading crypto montre que chaque cycle haussier attire une nouvelle vague de malwares : 2026 ne fait pas exception.

À retenir

Microsoft a identifié CryptoBandits actif depuis février 2026 : clipper, voleur de seed phrases, ver USB et communicant via Tor. Mettre à jour Microsoft Defender Antivirus et vérifier manuellement chaque adresse avant transaction sont les deux réflexes immédiats. La présence du module USB worm suggère que la menace continue de circuler hors ligne.

Signal Baissier
Impact Majeur
Nous ajouter à vos sources préférées sur Google