Ce qu’il faut retenir :
- Microsoft a identifié un malware qui vole les cryptomonnaies et se propage par les clés USB depuis février.
- Le virus surveille le presse-papiers et remplace l’adresse de réception par celle du pirate avant l’envoi.
- Microsoft recommande de désactiver l’exécution automatique des supports amovibles pour s’en protéger.
Microsoft a mis au jour un logiciel malveillant qui cible les portefeuilles crypto des utilisateurs de Windows et se diffuse via des clés USB infectées. Baptisé crypto clipper, il sévit depuis février 2026, selon un billet de blog publié par le groupe américain. Son antivirus Defender l’identifie sous le nom de Trojan:Win32/CryptoBandits.
Comment fonctionne ce “crypto clipper” ?
Tout commence par une clé USB piégée. Elle contient un fichier raccourci, reconnaissable à son extension .lnk, qui pointe en théorie vers un programme ou un dossier. Quand la victime branche la clé et clique sur ce raccourci, elle installe en réalité un ver (worm), un programme qui se recopie tout seul d’une machine à l’autre.
Une fois en place, le ver mène deux actions en parallèle. Il exécute en continu le code de vol de portefeuille, et il attend qu’une nouvelle clé USB saine soit branchée sur le même ordinateur pour se répliquer.
Le module de vol surveille le presse-papiers de Windows, cette mémoire temporaire utilisée pour les copier-coller, toutes les 500 millisecondes. Dès que l’utilisateur copie une phrase de récupération (seed phrase) ou une clé privée d’un portefeuille Bitcoin (BTC) ou Ethereum (ETH), le malware capture la donnée et l’expédie au serveur du pirate via le réseau Tor, qui anonymise les communications. Il prend aussi cinq captures d’écran, espacées de dix secondes, et les transmet dans la foulée.
Le piège le plus vicieux : l’adresse remplacée
Le vol de clés n’est pas le seul danger. Quand l’utilisateur copie une adresse de réception pour envoyer des fonds, le ver la remplace en silence par une adresse contrôlée par l’attaquant, juste avant le collage. Le transfert part alors vers le pirate, sans aucun signal visible à l’écran.
C’est tout l’intérêt d’un clipper : il ne casse rien, il détourne. Pour un détenteur de cryptos, le réflexe de survie tient en une règle : vérifier caractère par caractère l’adresse collée avant de valider une transaction.
Comment se protéger de ce malware ?
L’accès initial s’effectue via des fichiers .lnk malveillants. Dans les cas que nous avons analysés, ces raccourcis .lnk étaient diffusés sur des périphériques de stockage USB.
Le ver se propage dès qu’une clé USB propre est insérée. Il y cherche des fichiers ordinaires, documents Word, feuilles Excel et PDF, les remplace par des raccourcis portant les mêmes noms, et infecte le support. Le cycle reprend ensuite sur la machine suivante.
Microsoft conseille de désactiver l’exécution automatique (AutoRun) des supports amovibles, de bloquer l’exécution des fichiers .lnk sur les clés USB via une stratégie de groupe, et de restreindre les hôtes de scripts comme wscript.exe et cscript.exe. Les clients de Defender peuvent lancer des requêtes de détection, notamment pour repérer une connexion à un proxy Tor local sur le port 9050.
Et maintenant ?
Microsoft a publié une liste d’indicateurs de compromission, dont des empreintes de fichiers (hashes) et des domaines .onion servant de serveurs de commande et de contrôle, à destination des équipes de sécurité. La menace circule depuis quatre mois, ce qui laisse penser que de nombreuses machines sont déjà infectées sans le savoir. Pour les détenteurs de cold wallets comme de hot wallets, la méfiance face aux clés USB inconnues et la vérification systématique des adresses restent les meilleures parades.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
