Microsoft a révélé qu'un nouveau malware transmis par USB, appelé Trojan:Win32/CryptoBandits, volait les informations d'identification du portefeuille de crypto-monnaie sur les PC Windows depuis février.
Vecteur d'infection et exécution
L'attaque commence lorsqu'une clé USB compromise contient un fichier de raccourci malveillant avec une extension .lnk. Lorsqu'un utilisateur ouvre le raccourci, le ver se dépose sur le système et active immédiatement deux fonctions parallèles : un module de vol de portefeuille et un écouteur qui attend tout périphérique USB propre supplémentaire.
Récolte et exfiltration de données
Le composant de vol de portefeuille interroge le presse-papiers de Windows environ toutes les 500 millisecondes, capturant des phrases de départ ou des clés privées pour Bitcoin, Ethereum ou d'autres actifs blockchain. Les données capturées sont acheminées via le réseau Tor vers le serveur de l'attaquant, tandis que le malware enregistre également cinq captures d'écran à dix secondes d'intervalle.
Manipulation des transactions et risques
Si une victime copie l'adresse d'un destinataire, le ver l'écrase silencieusement par une adresse contrôlée par l'attaquant avant l'opération de collage, détournant ainsi les fonds à l'insu de l'utilisateur. Ce comportement élargit la surface des menaces pour les investisseurs en crypto et souligne la nécessité d'une hygiène USB accrue et de pratiques de portefeuille hors ligne.