Microsoft expose un Crypto Clipper USB avec backdoor Tor

Un Crypto Clipper furtif exploite USB et réseau Tor pour vider les portefeuilles crypto

Le 17 juin 2026, les équipes Microsoft Threat Intelligence et Microsoft Defender Experts ont publié sur le blog officiel Microsoft Security une analyse technique détaillée d'une campagne de malware ciblant les utilisateurs de cryptomonnaies sur Windows. Le logiciel malveillant, catégorisé comme Crypto Clipper, est actif depuis au moins février 2026 et combine plusieurs techniques avancées pour maximiser sa furtivité et sa persistance : propagation par clés USB via des fichiers de raccourcis Windows (.LNK), utilisation du réseau Tor pour dissimuler les communications avec le serveur de commande et de contrôle (C2), et surveillance intensive du presse-papiers système.

Le vecteur d'infection initial est la clé USB. Le malware exploite les fichiers de raccourcis Windows (extension .LNK) — les mêmes fichiers qui apparaissent lorsqu'un utilisateur crée un raccourci vers un programme ou un dossier. Lorsqu'une clé USB infectée est connectée à un système Windows et que l'utilisateur navigue dans son contenu via l'Explorateur de fichiers, les fichiers LNK malveillants se fondent dans la liste des fichiers légitimes. L'ouverture de l'un d'entre eux déclenche une séquence d'exécution s'appuyant sur Windows Script Host (WSH) et des composants ActiveX pour lancer discrètement le malware en arrière-plan.

Le mécanisme de propagation ver (worm) est particulièrement efficace et autonome. Une fois le système infecté, le malware analyse les clés USB connectées ultérieurement et génère de nouveaux fichiers LNK malveillants à partir des fichiers légitimes présents sur ces supports. Il crée des copies des raccourcis existants et les remplace par des versions piégées qui exécutent le malware avant d'ouvrir le fichier légitime attendu par l'utilisateur, assurant ainsi une expérience transparente tout en contaminant silencieusement les supports de stockage amovibles. Cette capacité de propagation autonome multiplie le rayon d'impact initial d'une seule clé USB infectée.

Une fois implanté sur le système, le malware déploie un proxy Tor local. Cette architecture de communication est délibérée et sophistiquée : en routant ses échanges avec le C2 via le réseau anonymisant Tor, le malware rend l'identification de l'infrastructure attaquante extrêmement difficile. Les adresses .onion des services cachés Tor ne sont pas résolvables depuis l'internet public et ne peuvent pas être bloquées par les listes de blocage d'IP ou de domaines conventionnelles. Seule la détection du processus Tor lui-même ou des connexions vers les nœuds d'entrée Tor (Guard nodes) permet d'identifier la présence du malware au niveau réseau, rendant les défenses périmètriques traditionnelles largement inefficaces.

La fonction principale du malware est le vol de cryptomonnaies par substitution silencieuse d'adresses de portefeuilles. Toutes les 500 millisecondes, il interroge le contenu du presse-papiers Windows. Si une chaîne de caractères correspondant au format d'une adresse de portefeuille cryptomonnaie est détectée — Bitcoin, Ethereum, et d'autres crypto-actifs sont ciblés — elle est immédiatement et silencieusement remplacée par une adresse contrôlée par les attaquants. Lorsque la victime colle ensuite l'adresse pour effectuer un virement, elle envoie ses fonds vers le portefeuille des attaquants en croyant payer le destinataire légitime. L'attaque est particulièrement insidieuse car la plupart des utilisateurs ne vérifient pas caractère par caractère une longue adresse de portefeuille après l'avoir copiée.

Au-delà du vol par clipboard, le malware dispose de capacités d'exfiltration plus larges documentées par Microsoft. Il capture des captures d'écran à intervalles réguliers et les envoie au C2, et peut également extraire les phrases mnémotechniques (seed phrases) et clés privées stockées dans des fichiers texte sur le système infecté. Ces données permettent aux attaquants de prendre le contrôle total des portefeuilles crypto de la victime, même sans connaître le mot de passe d'accès à l'interface du portefeuille logiciel.

La dimension la plus préoccupante relevée par l'analyse de Microsoft est l'existence d'un backdoor SOCKS intégré au malware. Ce backdoor, communiquant via le canal Tor déjà établi, permet aux attaquants de pousser des modules additionnels vers les systèmes infectés à tout moment. Microsoft précise explicitement que le même canal pourrait servir à déployer un ransomware, un keylogger, ou des outils de mouvement latéral pour s'étendre au reste du réseau de l'organisation. Le Crypto Clipper n'est donc pas nécessairement l'objectif final de l'attaquant : il peut constituer la tête de pont initiale d'une compromission bien plus large, utilisée dans un premier temps pour le vol discret de crypto-actifs, tout en maintenant un accès persistant pour des opérations futures.

La campagne est active depuis au moins février 2026 selon les données de télémétrie de Microsoft, et aucune attribution publique n'a été communiquée dans l'analyse du 17 juin. BleepingComputer rapporte que des échantillons du malware ont été observés sur des plateformes d'analyse spécialisées, confirmant sa circulation active dans les communautés cybercriminelles. L'utilisation combinée de LNK worm et de Tor rappelle des campagnes précédentes documentées par Kaspersky en 2023, suggérant une évolution continue des mêmes familles de malwares vers des architectures plus résilientes.

Pourquoi c'est important

La résurgence des infections par clés USB en 2026 peut sembler anachronique dans un monde hyperconnecté, mais ce vecteur reste redoutablement efficace pour plusieurs raisons structurelles. De nombreuses organisations ont des politiques de sécurité réseau très strictes qui limitent les téléchargements depuis internet ou bloquent les exécutables — mais n'ont pas déployé de politiques restrictives sur les périphériques USB (GPO de blocage des supports amovibles, solutions de type DLP). Les environnements industriels et les systèmes isolés du réseau internet (air-gapped), qui utilisent précisément des clés USB pour les transferts de données légitimes, constituent des cibles de choix que les contrôles réseau ne peuvent pas surveiller.

L'utilisation du réseau Tor comme infrastructure C2 représente un défi croissant pour les équipes de sécurité défensive. Les solutions de filtrage DNS et les proxies web qui constituent la première ligne de défense contre les malwares communicant vers des C2 traditionnels sont inefficaces contre le trafic Tor. Les organisations devront évoluer vers une approche de détection comportementale : identifier l'installation d'un processus Tor sur un poste utilisateur standard, détecter les connexions vers les nœuds Guards Tor, surveiller les comportements anormaux du presse-papiers. Les IOC statiques (adresses IP, domaines) sont structurellement impossibles à utiliser contre des services cachés Tor, forçant une évolution vers la détection par comportement et par TTPs (Tactics, Techniques and Procedures).

La cible principale — les utilisateurs de cryptomonnaies — s'est considérablement élargie depuis 2023. L'adoption institutionnelle des crypto-actifs par les entreprises, l'approbation des ETF Bitcoin dans de nombreuses juridictions, et l'intégration des portefeuilles crypto dans les outils de paiement grand public ont multiplié le nombre de cibles potentielles. Un employé qui gère des cryptomonnaies personnelles sur son poste de travail professionnel représente un vecteur de risque pour l'ensemble du réseau de son organisation si ce poste est infecté par un malware équipé d'un backdoor SOCKS permettant le mouvement latéral.

Sur le plan de la réponse à incident, la nature du malware complique considérablement l'investigation forensique. La communication via Tor rend très difficile la reconstitution de l'infrastructure attaquante. Les captures d'écran exfiltrées et les données de presse-papiers peuvent avoir exposé des informations sensibles bien au-delà des seules cryptomonnaies : mots de passe, données personnelles, informations commerciales confidentielles visibles à l'écran ou copiées dans le presse-papiers. En cas de détection d'un système infecté, une analyse forensique complète est nécessaire pour évaluer l'étendue réelle de l'exfiltration — qui dépasse souvent significativement les seuls actifs crypto volés visibles — et pour déterminer si le backdoor SOCKS a été activement utilisé pour pivoter vers d'autres systèmes du réseau.

Ce qu'il faut retenir

• Le malware Crypto Clipper documenté par Microsoft se propage via des clés USB piégées (LNK worm), surveille le presse-papiers toutes les 500 ms et substitue les adresses crypto — actif depuis février 2026.
• L'utilisation du réseau Tor pour le C2 rend inefficaces les défenses réseau traditionnelles ; la détection comportementale (processus Tor sur poste utilisateur, connexions aux nœuds Guards) devient indispensable.
• Le backdoor SOCKS intégré peut servir à déployer des charges utiles supplémentaires : toute infection doit être traitée comme une compromission potentielle à portée plus large, nécessitant une investigation forensique complète.