Comment une clé USB abandonnée s'est transformée en un voleur de cryptomonnaie silencieux

Un développeur senior dans une société de fintech spécialisée a remarqué une anomalie dans les transactions de son portefeuille matériel mardi dernier. Il a tenté d'envoyer 0,5 Bitcoin à une adresse de stockage à froid qu'il avait utilisée des dizaines de fois. Il a copié l'adresse depuis son gestionnaire de mots de passe et l'a collée dans le champ de transfert. La transaction a été effectuée. Cependant, les fonds ne sont jamais arrivés à la destination prévue. En quelques minutes, le solde de son portefeuille source est tombé à zéro. Une enquête médico-légale de la station de travail a révélé que l'adresse collée n'était pas celle qu'il avait copiée. Il s'agissait d'une chaîne de caractères presque identique contrôlée par un attaquant. Le point d'entrée de cette brèche était une clé USB promotionnelle qu'il avait trouvée dans un sac de cadeaux de conférence trois mois auparavant.

Les chercheurs de Microsoft ont récemment identifié cette menace spécifique comme un nouveau ver auto-propageable. Ils l'appellent Crypto Clipper. Ce logiciel malveillant se distingue des packages de ransomwares lourds et complexes qui dominent l'actualité actuelle. Il s'agit d'une porte dérobée légère, basée sur un script, qui privilégie la furtivité et la monétisation immédiate. La chaîne d'attaque commence lorsqu'un utilisateur connecte une clé USB infectée à une machine Windows. Le lecteur contient des fichiers .lnk malveillants qui se font passer pour des documents ou des dossiers légitimes. Lorsqu'un utilisateur interagit avec ces fichiers, le processus d'infection commence sans invite d'installation traditionnelle.

Le mécanisme de réplication silencieuse et d'infection initiale

La propagation de Crypto Clipper est un retour à l'ère des premiers vers Internet. Elle repose sur le mouvement physique du matériel entre les systèmes. Lorsque le logiciel malveillant trouve un nouvel hôte, il recherche tous les périphériques de stockage USB connectés. Il crée une série de fichiers .lnk sur ces lecteurs. Ces fichiers de raccourci stockent du code exécutable qui pointe vers la charge utile du malware. Pour augmenter les chances d'un clic réussi, le malware utilise des noms qui correspondent aux fichiers existants sur le lecteur. Il s'agit d'un cheval de Troie numérique qui exploite la confiance intrinsèque que les utilisateurs accordent à leur propre matériel.

Du point de vue du risque, ce ver est efficace car il contourne entièrement le périmètre du réseau. La plupart des piles de sécurité modernes se concentrent sur le trafic Web entrant et les pièces jointes des courriels. Un script malveillant qui arrive via une interface matérielle locale évite souvent les premières couches d'inspection. Une fois que le fichier .lnk est exécuté, il lance une commande PowerShell. Cette commande vérifie si la machine est déjà infectée. Si le système est sain, le script contacte un serveur externe pour télécharger les composants de base du clipper.

Pourquoi les pare-feu traditionnels ignorent le trafic routé par Tor

La caractéristique la plus distinctive de Crypto Clipper est son utilisation du réseau Tor pour le commandement et le contrôle (C2). La plupart des familles de logiciels malveillants utilisent des adresses IP ou des noms de domaine codés en dur que les analystes de sécurité peuvent facilement bloquer. Ce malware adopte une approche plus résiliente. Il déploie un client Tor portable sur l'hôte infecté. Il achemine ensuite toutes les communications sortantes via un proxy SOCKS5 local, généralement sur le port 9050. Cela crée un tunnel anonyme entre l'appareil compromis et l'attaquant.

Cette configuration constitue un défi direct pour les pratiques de journalisation standard. Dans un environnement d'entreprise typique, un pare-feu enregistre l'IP de destination de chaque paquet sortant. Lorsqu'un appareil utilise Tor, le pare-feu ne voit qu'une connexion vers un nœud d'entrée Tor. Ces nœuds sont souvent des serveurs légitimes. La destination réelle des données volées reste cachée derrière plusieurs couches de chiffrement et des nœuds redondants. L'évaluation de la surface d'attaque dans ce contexte est difficile car le trafic malveillant se fond dans l'activité Web cryptée courante. Le malware utilise le protocole SOCKS5 pour transférer les données vers leur destination finale, garantissant que l'adresse du serveur de l'attaquant n'apparaisse jamais dans les journaux du réseau local.

L'anatomie d'un détournement de presse-papiers

La fonction principale du logiciel malveillant est de surveiller le presse-papiers de Windows. Il recherche des modèles spécifiques correspondant à des adresses de portefeuilles de cryptomonnaies. Le Bitcoin, l'Ethereum et d'autres actifs majeurs utilisent des formats alphanumériques standardisés. Crypto Clipper utilise des expressions régulières pour identifier ces chaînes en temps réel. Lorsqu'un utilisateur copie une adresse, le malware intercepte le contenu du presse-papiers. Il remplace l'adresse de l'utilisateur par une adresse appartenant à l'attaquant.

Il s'agit d'une forme simple mais dévastatrice de compromission de l'intégrité des données. La plupart des utilisateurs vérifient une adresse en contrôlant les quatre premiers et derniers caractères. Des variantes sophistiquées de ce malware génèrent des milliers d'adresses pour en trouver une qui corresponde le plus possible à la cible prévue par la victime. Au-delà du simple remplacement d'adresse, le malware surveille également les phrases de récupération (seed phrases). Il s'agit des séquences de 12 ou 24 mots utilisées pour récupérer un portefeuille crypto. Si le malware détecte une phrase de récupération dans le presse-papiers, il exfiltre immédiatement le texte. Cela donne à l'attaquant un contrôle total sur l'ensemble du portefeuille d'actifs numériques de la victime.

Confirmation visuelle via une capture d'écran furtive

Crypto Clipper ne s'arrête pas au vol de texte. Microsoft a découvert que le logiciel malveillant prend cinq captures d'écran sur une période de 10 secondes chaque fois qu'il détecte des données sensibles dans le presse-papiers. Ces images fournissent un contexte à l'attaquant. Une capture d'écran peut révéler le logiciel de portefeuille spécifique utilisé, le solde du compte ou des questions de sécurité supplémentaires à l'écran. Le malware utilise des commandes PowerShell natives pour capturer l'écran, ce qui l'aide à éviter la détection par les logiciels antivirus de base qui ne recherchent que les outils de capture tiers.

La transition du "stealer" vers une porte dérobée active

Bien que l'objectif principal soit le vol financier, Microsoft classe cette menace comme une porte dérobée (backdoor) légère. La présence du proxy Tor et la capacité d'exécuter du code à distance signifient que l'attaquant peut faire plus que simplement échanger des adresses de portefeuilles. Il peut envoyer de nouveaux scripts à la machine infectée à tout moment. Cela permet au logiciel malveillant d'évoluer en fonction de l'environnement dans lequel il se trouve. Dans un cadre d'entreprise, un attaquant pourrait passer du vol de crypto à la collecte d'identifiants internes ou au déploiement de ransomwares.

Cette capacité d'attribution de tâches au moment de l'exécution fait du malware une menace persistante. Même si un utilisateur vide son presse-papiers ou déplace ses fonds, la porte dérobée reste active. L'attaquant peut attendre des mois avant de déployer une charge utile plus invasive. De manière proactive, l'existence d'une connexion anonyme et persistante vers un poste de travail interne est un scénario catastrophe pour toute équipe de sécurité. Cela transforme une simple clé USB infectée en un trou permanent dans la coque du navire.

Indicateurs techniques d'un système compromis

Microsoft Defender for Endpoint possède des signatures spécifiques pour cette menace. Il signale les processus JavaScript suspects et les tentatives d'exfiltration de données utilisant l'utilitaire Curl. Cependant, une recherche manuelle est souvent nécessaire pour les systèmes plus anciens ou ceux ne disposant pas d'outils EDR avancés. L'indicateur le plus fort d'une infection par Crypto Clipper est la présence d'un service proxy écoutant sur localhost:9050. Il s'agit du port par défaut pour le proxy Tor SOCKS5.

Les administrateurs doivent également rechercher des interpréteurs de scripts comme PowerShell ou CMD générant des processus enfants inhabituels. Le malware les utilise fréquemment pour exécuter ses routines de capture d'écran et de surveillance du presse-papiers. Toute preuve de commandes de capture d'écran dans l'historique PowerShell doit être un signal d'alarme. D'un point de vue médico-légal, l'apparition de nouveaux fichiers .lnk sur une clé USB avec des noms imitant des documents existants est un signe définitif de la présence du ver. Microsoft Defender Antivirus détecte la charge utile principale sous le nom de Trojan:Win32/CryptoBandits.A.

Étapes pratiques pour sécuriser vos interfaces matérielles

La sécurisation d'un réseau contre un ver auto-propageable nécessite une combinaison de contrôles techniques et d'éducation des utilisateurs. Outre les correctifs, la défense la plus efficace est une politique stricte concernant les supports amovibles. De nombreuses organisations désactivent désormais les ports USB par défaut ou utilisent des logiciels pour autoriser uniquement des clés spécifiques et chiffrées. C'est l'équivalent numérique d'un videur de club VIP à chaque porte interne. Si un appareil n'est pas sur la liste, il n'entre pas.

Les utilisateurs doivent également adopter une approche "Zero Trust" vis-à-vis de leur presse-papiers. Ne supposez jamais que la chaîne que vous collez est la même que celle que vous avez copiée. Vérifiez toujours l'intégralité de l'adresse du portefeuille, et pas seulement les premiers caractères, avant de confirmer une transaction. Pour les transferts de grande valeur, une vérification hors bande est une nécessité. Cela implique de vérifier l'adresse sur un appareil distinct qui n'est pas connecté au même réseau. Cette étape simple peut prévenir la grande majorité des vols basés sur les clippers.

Enfin, les organisations doivent auditer leurs systèmes pour détecter la présence d'outils proxy non autorisés. Tor a des utilisations légitimes, mais sa présence sur un poste de travail de bureau standard est presque toujours le signe d'un "Shadow IT" ou d'une brèche de sécurité. La surveillance du trafic réseau vers les nœuds d'entrée Tor connus peut aider à identifier les machines infectées avant que l'attaquant ne puisse exfiltrer des quantités importantes de données. Cette surveillance proactive fait la différence entre un incident mineur et une perte totale d'actifs numériques.

Sources

• Microsoft Threat Intelligence Report (Juin 2026)
• MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
• NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
• Microsoft Security Blog: Evolution of Script-Based Stealers

Avertissement : Cet article est fourni à titre informatif et éducatif uniquement. Il ne remplace pas un audit professionnel de cybersécurité ou un service de réponse aux incidents. Consultez toujours un professionnel de la sécurité certifié avant d'apporter des modifications à la posture de sécurité de votre entreprise.