Microsoft a annoncé que son équipe de sécurité a découvert une nouvelle souche de malware qui se propage via les clés USB et récupère spécifiquement les informations d'identification du portefeuille cryptographique sur les ordinateurs Windows. La menace, baptisée Trojan/CryptoBandits, cible les clés privées et les phrases de départ liées aux portefeuilles Bitcoin et Ethereum, exposant potentiellement des actifs évalués aux prix actuels du marché. Les investisseurs qui s'appuient sur des applications blockchain doivent savoir que le malware fonctionne silencieusement, sans alertes visibles.
Mécanismes des logiciels malveillants
Le vecteur d'infection repose sur des fichiers de raccourci malveillants portant l'extension « .lnk » ; lorsqu'un utilisateur ouvre le fichier déguisé, des scripts cachés lancent un ver qui s'intègre dans le système d'exploitation. Une fois actif, le ver s’exécute en continu, exécutant un code de vol de portefeuille tout en se préparant simultanément à compromettre tout périphérique USB supplémentaire connecté ultérieurement. L'antivirus Defender de Microsoft a signalé l'activité comme un crypteur, notant que le ver se propage de manière autonome sur les supports amovibles.
Après l'installation, le logiciel malveillant surveille le presse-papiers à intervalles d'une demi-seconde pour capturer les phrases de départ ou les clés privées copiées, puis achemine les données volées via le réseau Tor vers des serveurs contrôlés par les attaquants. Il enregistre également des captures d'écran toutes les dix secondes, rassemblant un contexte visuel qui pourrait faciliter l'extraction ultérieure des informations d'identification. Ces actions se produisent en parallèle, garantissant que la charge utile reste efficace tout en minimisant les risques de détection.
Impact sur les parties prenantes de la cryptographie
Pour les investisseurs en cryptomonnaies, le malware constitue une menace directe pour la sécurité du portefeuille, permettant potentiellement des transactions non autorisées qui contournent le consentement de l'utilisateur. En siphonnant les clés privées Bitcoin et Ethereum, la menace pourrait déclencher des fluctuations soudaines du marché si de grandes quantités sont déplacées illégalement, affectant la stabilité des prix et la confiance des investisseurs. La nature secrète du vol de presse-papiers signifie que même les utilisateurs vigilants peuvent exposer par inadvertance leurs actifs tout en copiant les informations d'adresse.
Microsoft conseille aux utilisateurs de désactiver les fonctionnalités d'exécution automatique sur les lecteurs amovibles, de vérifier la légitimité des fichiers de raccourci et de maintenir à jour les signatures de Defender Antivirus. Renforcer la sécurité du portefeuille via des périphériques matériels et éviter le stockage de clés privées sur les machines Windows peut atténuer le risque posé par ce malware émergent axé sur la cryptographie.