Microsoft met en garde : un nouveau malware détourne le presse-papiers des portefeuilles crypto

Microsoft Threat Intelligence et les experts de Microsoft Defender ont signalé le 17 juin qu’une nouvelle souche de malware infectait des appareils Windows depuis février 2026. La menace, dite « clipper », désormais signalée par Microsoft Defender Antivirus comme « Trojan: Win32/CryptoBandits.A », est conçue pour soutirer des cryptomonnaies aux utilisateurs en surveillant l’activité du presse-papiers. Le malware fonctionne en surveillant le presse-papiers toutes les environ 500 millisecondes et en remplaçant silencieusement les adresses des portefeuilles de cryptomonnaies par des adresses contrôlées par les attaquants lorsque les utilisateurs copient et collent les détails des transactions. Cette méthode d’attaque via le presse-papiers exploite la pratique courante de copier les adresses lors des transactions en cryptomonnaies, permettant aux attaquants de rediriger des fonds sans que la victime ne s’en aperçoive.

Microsoft Identifie la méthode de distribution du malware

D’après le rapport de Microsoft, la campagne commence par des fichiers de raccourci malveillants (.lnk) distribués sur des lecteurs de stockage USB. Le malware regroupe deux composants : un composant ver qui se propage et un voleur (stealer) qui collecte les données de portefeuilles. Le ver dissimule des documents légitimes sur un appareil USB et les remplace par des raccourcis déguisés, de sorte qu’un utilisateur qui ouvre ce qui ressemble à un fichier familier lance en réalité le malware sans le savoir.

Le malware cherche aussi des phrases seed et des clés privées, c’est-à-dire les identifiants qui permettent de déverrouiller les portefeuilles crypto. Pour maintenir la persistance, il s’exécute dans une fenêtre dissimulée, met en place des tâches planifiées et exclut ses propres fichiers des analyses de Defender. Le malware vérifie si le Gestionnaire des tâches est ouvert et s’arrête s’il l’est : une tactique d’anti-analyse visant à éviter que toute personne étudiant l’appareil ne le découvre.

CryptoBandits Utilise une infrastructure basée sur Tor

Microsoft indique que CryptoBandits déploie un client Tor portable et fait passer le trafic par un proxy local afin d’atteindre un serveur de commande et de contrôle dissimulé. Cette conception lui permet de combiner le vol de données et l’exécution de code à distance, transformant un voleur avide d’argent en une simple porte dérobée (backdoor) légère pouvant exécuter davantage de commandes de l’attaquant. L’infrastructure basée sur Tor permet au malware de conserver des canaux de communication discrets sans dépendre d’installateurs traditionnels ni de serveurs exposés.

FAQ

Quel est le malware CryptoBandits découvert par Microsoft ? CryptoBandits, signalé par Microsoft Defender Antivirus comme « Trojan: Win32/CryptoBandits.A », est une souche de malware qui surveille l’activité du presse-papiers toutes les environ 500 millisecondes et échange les adresses des portefeuilles de cryptomonnaies contre des adresses contrôlées par l’attaquant. Microsoft Threat Intelligence et les experts de Microsoft Defender ont rapporté le 17 juin qu’il infecte des appareils Windows depuis février 2026.

Comment le malware CryptoBandits se propage-t-il aux appareils ? D’après le rapport de Microsoft, le malware se propage via des fichiers de raccourci malveillants (.lnk) distribués sur des lecteurs de stockage USB. Le composant ver dissimule des documents légitimes sur des appareils USB et les remplace par des raccourcis déguisés qui lancent le malware lorsque les utilisateurs ouvrent ce qui semble être un fichier familier.

Quelle infrastructure CryptoBandits utilise-t-il pour communiquer ? Microsoft indique que CryptoBandits déploie un client Tor portable et fait passer le trafic par un proxy local afin d’atteindre un serveur de commande et de contrôle dissimulé. Cette infrastructure basée sur Tor permet au malware de maintenir des canaux de communication discrets et d’exécuter des commandes à distance.