Microsoft met en garde les utilisateurs de Windows contre le malware de type « CryptoBandits Clipper »

L’Intelligence Threat de Microsoft a détaillé une campagne de maliciel Windows suivie comme Trojan:Win32/CryptoBandits.A, décrivant un « clipper » qui se propage via des lecteurs amovibles, surveille l’activité du presse-papiers et remplace les adresses de crypto-monnaie avant que les victimes n’envoient des fonds. Le maliciel cible une des habitudes les plus courantes en crypto : copier et coller des adresses de portefeuille, en remplaçant les adresses de destination légitimes par celles contrôlées par l’attaquant. Cette campagne représente une méthode de vol spécifique à la crypto qui exploite la confiance accordée aux clés USB et les flux de transaction routiniers.

Maliciel CryptoBandits : surveillance du presse-papiers et échange des adresses crypto

Le maliciel observe le presse-papiers et remplace les adresses de portefeuille copiées par des adresses contrôlées par l’attaquant. Le rapport de Microsoft indique que la campagne CryptoBandits utilise une surveillance à haute fréquence du presse-papiers et peut aussi chercher du matériel crypto sensible comme des clés privées ou des phrases de récupération (seed phrases). Les utilisateurs copient une adresse de destination légitime, mais le maliciel intercepte et remplace cette adresse avant que la victime ne la colle dans une transaction. Les transferts sur la blockchain sont difficiles, voire impossibles, à inverser, et les victimes ne peuvent parfois réaliser ce qui s’est passé qu’après avoir vérifié l’enregistrement de la transaction.

Le maliciel se propage via des clés USB grâce à des raccourcis malveillants

Microsoft indique que le maliciel peut se propager via des lecteurs amovibles en dissimulant de vrais documents et en les remplaçant par des fichiers de raccourcis malveillants utilisant des noms de documents familiers. Un utilisateur ouvre ce qui ressemble à un PDF normal, un tableur ou un document depuis une clé USB, mais le raccourci exécute à la place du code malveillant. La campagne utilise aussi une infrastructure Tor pour le trafic de command-and-control, selon Microsoft. En faisant transiter la communication par des services cachés, les attaquants peuvent rendre le maliciel plus difficile à perturber et plus compliqué à analyser pour les défenses réseau traditionnelles.

Microsoft recommande de vérifier l’adresse avant d’envoyer des fonds

Les recommandations de Microsoft incluent la vérification des caractères du début et de la fin de l’adresse de destination avant l’envoi de fonds. Pour les transferts plus importants, les utilisateurs devraient utiliser un portefeuille matériel ou un écran de portefeuille affichant l’adresse indépendamment de l’ordinateur infecté. Les utilisateurs doivent aussi éviter d’ouvrir des fichiers depuis des clés USB inconnues, maintenir les outils de sécurité Windows à jour, et considérer les raccourcis sur un stockage amovible avec méfiance. Si un lecteur affiche soudainement des fichiers familiers sous forme de liens de raccourcis, c’est un signe d’alerte. Cette campagne est axée sur Windows et cible les utilisateurs crypto qui s’appuient sur des workflows copier-coller pour les adresses de transaction.

FAQ

Que fait le maliciel CryptoBandits aux adresses des portefeuilles crypto ?

Le maliciel surveille l’activité du presse-papiers et remplace les adresses de portefeuilles de crypto-monnaie copiées par des adresses contrôlées par l’attaquant, avant que les victimes ne les collent dans des transactions. Microsoft indique qu’il utilise une surveillance à haute fréquence du presse-papiers et qu’il peut aussi rechercher des clés privées ou des seed phrases.

Comment CryptoBandits se propage-t-il vers d’autres ordinateurs ?

Microsoft rapporte que le maliciel se propage via des clés USB amovibles en dissimulant de vrais documents et en les remplaçant par des fichiers de raccourcis malveillants utilisant des noms de documents familiers. Lorsqu’un utilisateur ouvre ce qui semble être un fichier normal depuis une clé USB, le raccourci exécute à la place du code malveillant.