Microsoft identifie un nouveau logiciel malveillant ciblant les adresses de portefeuille et les clés privées

TheNewsCryptoPublié le 2026-06-19Dernière mise à jour le 2026-06-19

Résumé

En février 2026, Microsoft Threat Intelligence a découvert une nouvelle campagne de malware ciblant les cryptomonnaies, identifiée sous le nom de Trojan/CryptoBandits.A. Ce logiciel malveillant, propagé via des fichiers .lnk malveillants sur des clés USB, opère sans installer ni serveur de commande classique. Il utilise l'hôte de script Windows et une technologie ActiveX pour déployer un proxy Tor, permettant une connexion discrète aux serveurs des attaquants via un service caché Tor. Une fois installé, le malware déploie deux modules : l'un pour sa propagation et l'autre agissant comme un "clipper" et voleur d'informations. Il surveille en permanence le presse-papier pour y déceler des phrases de récupération (de 12 ou 24 mots), des clés privées Bitcoin/Ethereum et des adresses de portefeuille. Lorsqu'un utilisateur copie une adresse pour effectuer une transaction, le malware la remplace silencieusement par une adresse contrôlée par les attaquants. De plus, le malware capture des captures d'écran qu'il envoie via Tor, permettant aux cybercriminels d'évaluer les soldes et activités des victimes. Il dispose également de capacités d'exécution de code à distance et assure sa persistance via des tâches planifiées. Microsoft recommande aux organisations de désactiver l'exécution automatique, de restreindre les interpréteurs de script et les raccourcis exécutables depuis les périphériques USB, et de surveiller toute activité suspecte liée à l'exécution de JavaScript, aux proxys ...

En février 2026, Microsoft Threat Intelligence et Microsoft Defender Experts ont découvert une attaque de type "crypto clipper". Il s'agissait d'une campagne construite sur Windows. Le logiciel malveillant exploite les détenteurs de cryptomonnaies via le détournement du presse-papiers et recherche des informations sensibles sur les portefeuilles. Ces informations ont été rapportées par Microsoft via leur blog.

Les attaquants propagent principalement ce logiciel malveillant via des fichiers de raccourci .lnk malveillants distribués sur des clés USB. L'activation de ce code malveillant entraîne le déploiement de deux modules par le malware. Un module propage le logiciel malveillant à travers les systèmes, tandis que l'autre agit comme un "clipper" et un voleur d'informations. Microsoft Defender Antivirus identifie cette menace sous le nom de Trojan/CryptoBandits.A.

Contrairement à la plupart des opérations de logiciels malveillants, celle-ci ne nécessite pas l'utilisation d'un programme d'installation ou de serveurs de contrôle, car elle utilise le Windows Script Host et la technologie ActiveX pour lancer un proxy Tor empaqueté. Elle utilise ensuite un proxy SOCKS5 sur l'ordinateur infecté, puis se connecte aux serveurs de contrôle, qui fonctionnent sur un service caché Tor.

Le malware subtilise les informations des portefeuilles et échange les adresses

Après l'infection du système, le logiciel malveillant surveille constamment le contenu du presse-papiers et recherche des phrases de récupération, des clés privées et des adresses de portefeuille. Selon Microsoft, le logiciel malveillant cible précisément les phrases de récupération de 12 et 24 mots, les clés privées Bitcoin et les clés privées Ethereum. Il remplace les adresses de portefeuille copiées par celles contrôlées par les attaquants avant que les utilisateurs ne terminent leurs transactions.

Le malware prend des captures d'écran et les envoie via des connexions Tor, ce qui permet aux attaquants d'obtenir plus d'informations sur les soldes et les activités des utilisateurs. De plus, Microsoft a déclaré que le logiciel malveillant dispose de la capacité d'exécuter du code à distance, offrant ainsi aux attaquants la possibilité d'envoyer des instructions supplémentaires tout en assurant sa persistance grâce à l'utilisation de tâches planifiées et au chiffrement de parties malveillantes du malware.

Les chercheurs ont identifié plusieurs indicateurs de compromission, notamment l'exécution suspecte de JavaScript, l'activité proxy sur localhost:9050, la capture d'écran basée sur PowerShell et le comportement de surveillance du presse-papiers. Microsoft a recommandé aux organisations de désactiver les fonctionnalités d'exécution automatique, de limiter les interpréteurs de scripts et les raccourcis exécutables provenant de clés USB, et de surveiller toute activité suspecte liée à cela. Cette campagne de logiciels malveillants souligne la croissance continue de l'utilisation des cryptomonnaies parmi les investisseurs et les utilisateurs.

Actualité cryptographique en vedette :

La Fondation Ethereum fait face à un nouveau départ alors que Hsiao-Wei Wang démissionne

TagsBlockchainCryptoCryptocurrencyMalwareMicrosoftWallet

Questions liées

QQuelle est la principale méthode utilisée par le malware pour se propager selon l'article ?

ALes attaquants diffusent principalement ce malware via des fichiers de raccourci .lnk malveillants distribués sur des clés USB.

QQuels sont les deux principaux modules libérés par le malware après son activation ?

AUn module propage le malware à travers les systèmes, tandis que l'autre fonctionne comme un 'clipper' (intercepteur) et un voleur d'informations.

QQuels types d'informations sensibles liées aux cryptomonnaies le malware recherche-t-il et modifie-t-il ?

ALe malware recherche les phrases de récupération de 12 et 24 mots, les clés privées Bitcoin et Ethereum, et remplace les adresses de portefeuille copiées par celles contrôlées par les attaquants.

QComment le malware établit-il la connexion avec ses serveurs de commande et de contrôle ?

AIl utilise Windows Script Host et ActiveX pour lancer un proxy Tor empaqueté, établit un proxy SOCKS5 sur l'ordinateur infecté, puis se connecte aux serveurs de contrôle qui fonctionnent comme un service caché Tor (Tor Hidden Service).

QQuelles sont certaines des recommandations de Microsoft pour se protéger contre cette menace ?

AMicrosoft recommande aux organisations de désactiver les fonctionnalités d'exécution automatique (auto-run), de restreindre les interpréteurs de scripts et les raccourcis exécutables provenant de clés USB, et de surveiller toute activité suspecte liée à ce malware.

Lectures associées

Swift se prépare à des pilotes de paiement tokenisés en direct avec 17 banques mondiales grâce à son registre blockchain

SWIFT lance sa première phase pilote en direct pour un registre blockchain, avec 17 grandes banques mondiales participant à des tests de paiements transfrontaliers utilisant des dépôts tokenisés. Cette étape marque le passage du projet, annoncé il y a moins d'un an, du développement à une mise en œuvre réelle. Le registre partagé sert de couche d'orchestration, permettant aux banques de déplacer des dépôts tokenisés émis sur leurs propres systèmes, tout en réglant les transactions via les infrastructures financières existantes. L'objectif est d'offrir des paiements 24h/24 et 7j/7, d'améliorer la gestion de la liquidité et la flexibilité des paiements, sans modifier les cadres de conformité et de contrôle en place. Contrairement aux initiatives basées sur des stablecoins publics, cette plateforme utilise des dépôts tokenisés émis par les banques participantes, restant ainsi dans le système financier réglementé. Les institutions pilotes, dont Citi, HSBC, BNP Paribas et UBS, y voient un moyen d'accroître l'efficacité des liquidités, la transparence et la vitesse de règlement. SWIFT prévoit d'étendre les fonctionnalités de la plateforme après cette phase initiale, considérant cela comme une étape clé pour développer les actifs numériques régulés et préparer des applications futures comme la monnaie programmable.

ambcryptoIl y a 26 mins

Swift se prépare à des pilotes de paiement tokenisés en direct avec 17 banques mondiales grâce à son registre blockchain

ambcryptoIl y a 26 mins

Pantera Capital : Alors que les contrats perpétuels gagnent le cœur de la finance, Hyperliquid aspire à tout englober

Les contrats perpétuels, instruments dérivés sans date d'expiration, évoluent d'un phénomène crypto natif vers un outil financier dominant. Ils offrent des avantages pratiques par rapport aux contrats à terme traditionnels, comme l'absence de roulement et une gestion des risques simplifiée, tout en fonctionnant 24h/24. L'écosystème des actifs numériques, sans le fardeau des infrastructures traditionnelles, a permis leur essor. Hyperliquid, la principale plateforme décentralisée d'échange de contrats perpétuels, a joué un rôle clé dans cette expansion. Construite sur une blockchain dédiée, elle offre une expérience utilisateur compétitive. Son modèle sans permission permet l'inscription rapide de nouveaux actifs, y compris traditionnels (actions, matières premières). Cela positionne Hyperliquid comme une plateforme de découverte de prix en continu, même en dehors des heures de marché traditionnelles, comme observé lors d'événements géopolitiques. L'adoption croissante attire l'attention des acteurs traditionnels et des régulateurs. Aux États-Unis, la CFTC a récemment ouvert la voie à des contrats perpétuels régulés. Si les défis réglementaires persistent, notamment pour les plateformes décentralisées, la tendance est à l'intégration. Hyperliquid, combinant les attributs de la DeFi avec un produit financier adapté, se trouve au centre de cette transformation du paysage des dérivés mondiaux.

链捕手Il y a 1 h

Pantera Capital : Alors que les contrats perpétuels gagnent le cœur de la finance, Hyperliquid aspire à tout englober

链捕手Il y a 1 h

Sony Bank progresse dans son projet de stablecoin lié au dollar américain avec une approbation conditionnelle de l'OCC

Sony Bank a obtenu une approbation conditionnelle de l'Office of the Comptroller of the Currency (OCC) américain pour créer Connectia Trust, une banque fiduciaire nationale axée sur les actifs numériques. Cette étape rapproche le groupe de son projet d'émettre un stablecoin adossé au dollar américain via cette filiale prévue. Dotée d'un capital initial de 40 millions de dollars, Connectia Trust devrait être lancée ce mois-ci, mais ne démarrera ses activités qu'en 2027 après l'approbation réglementaire finale. Le stablecoin proposé maintiendra une parité un pour un avec le dollar et sera utilisé au sein de l'écosystème Sony pour les paiements liés aux jeux vidéo, aux animes, aux abonnements et autres services de divertissement numérique, visant principalement la clientèle américaine. Sony rejoint ainsi d'autres entreprises comme Ripple, Circle et Fidelity qui ont également reçu des approbations conditionnelles pour des chartes de banque fiduciaire nationale. Ce statut permet la garde d'actifs numériques et l'émission de stablecoins sous supervision fédérale, mais pas d'accepter des dépôts en espèces traditionnels. Cette expansion des stablecoins attire l'attention des régulateurs, notamment des critiques de la sénatrice Elizabeth Warren, mais les demandes de licences se poursuivent.

TheNewsCryptoIl y a 3 h

Sony Bank progresse dans son projet de stablecoin lié au dollar américain avec une approbation conditionnelle de l'OCC

TheNewsCryptoIl y a 3 h

Trading

Spot
活动图片