HomeNotizieRegolamentazione
Regolamentazione

Allarme Microsoft: un malware si diffonde tramite USB e ruba i wallet crypto sostituendo gli indirizzi copiati

✍️ Redazione Cryptopedia.pro 📅 2026-06-19 🌐 Fonte: CoinDesk, Microsoft, SEC

Microsoft ha rivelato il 17 giugno 2026 una campagna malware attiva dal febbraio 2026 che combina furto di criptovalute, propagazione tramite chiavette USB e comunicazioni anonime via rete Tor. Il malware, soprannominato 'Crypto Clipper' (identificato come Trojan:Win32/CryptoBandits.A), rappresenta una delle minacce più sofisticate mai documentate contro i possessori di wallet Bitcoin ed Ethereum su Windows.

Come funziona il malware: il meccanismo del "clipper"

Il termine "crypto clipper" descrive una categoria di malware che monitora gli appunti (clipboard) di Windows — la memoria temporanea usata per le operazioni di copia e incolla. Secondo l'analisi pubblicata da Microsoft Threat Intelligence, questo specifico malware controlla il contenuto degli appunti ogni 500 millisecondi, cercando pattern che corrispondono a seed phrase, chiavi private o indirizzi di wallet Bitcoin ed Ethereum.

Il meccanismo di attacco è particolarmente insidioso: quando l'utente copia l'indirizzo del destinatario per inviare fondi, il malware lo sostituisce silenziosamente con un indirizzo controllato dall'attaccante prima che l'utente lo incolli. La vittima vede e conferma quello che sembra l'indirizzo corretto, ma la transazione viene in realtà dirottata verso il wallet del criminale, senza alcun segnale visibile dell'inganno.

La propagazione: come si diffonde tramite USB

Il vettore di infezione iniziale è una chiavetta USB infetta contenente un file di scorciatoia malevolo (.lnk). Quando Windows Explorer elabora automaticamente l'icona del file — un'operazione che avviene anche senza che l'utente clicchi attivamente sul file — il payload nascosto viene eseguito. Il malware poi:

  • Scansiona la chiavetta USB pulita alla ricerca di documenti Word, Excel e PDF
  • Sostituisce questi file con scorciatoie identiche nel nome ma infette
  • Si propaga automaticamente alla prossima chiavetta USB inserita nel computer
  • Attiva un client Tor portatile per comunicare con il server di comando in modo anonimo

Oltre il furto: screenshot e backdoor per comandi futuri

Una volta attivo, il malware non si limita a sorvegliare gli appunti. Cattura anche cinque screenshot a intervalli di dieci secondi ogni volta che rileva dati relativi a un wallet, fornendo all'attaccante un contesto visivo sui saldi e sull'interfaccia usata dalla vittima. Microsoft ha inoltre evidenziato una capacità particolarmente preoccupante: se il server di comando e controllo invia una risposta "EVAL", il malware può eseguire codice arbitrario fornito dall'attaccante in tempo reale — trasformando un semplice ladro di criptovalute in una vera backdoor persistente sul sistema infetto.

⚠️ Perché l'hardware wallet da solo non basta

È importante chiarire un equivoco comune: un hardware wallet (Ledger, Trezor) protegge le chiavi private, ma non impedisce automaticamente la sostituzione dell'indirizzo del destinatario. Se il malware altera l'indirizzo copiato e l'utente lo conferma sul dispositivo senza controllare ogni singolo carattere mostrato sullo schermo dell'hardware wallet, i fondi vengono comunque inviati all'attaccante.

Come proteggersi: le raccomandazioni di Microsoft

  • Disabilita AutoRun e AutoPlay su tutte le chiavette USB nelle impostazioni Windows
  • Non inserire mai chiavette USB di provenienza incerta — trovate, prestate da altri, o ricevute a eventi e fiere
  • Verifica sempre l'indirizzo completo prima di confermare una transazione, confrontando ogni carattere e non solo le prime/ultime cifre
  • Usa indirizzi salvati o whitelisted nel wallet invece di copiarli ogni volta da fonti esterne
  • Effettua un invio di prova con importo minimo prima di trasferire somme significative
  • Mantieni aggiornato Windows Defender, che già rileva la famiglia di malware Trojan:Win32/ClipBanker
  • Blocca l'esecuzione di script .lnk su dispositivi rimovibili, specialmente in ambienti aziendali

Un fenomeno più ampio: 15.500 indirizzi in un solo campione

Parallelamente alla scoperta di Microsoft, un report separato di Check Point Research pubblicato lo stesso giorno ha documentato un'altra variante di crypto clipper basata su Rust, distribuita tramite falsi "bot" di trading per Solana e Pump.fun, finti predittori per giochi crash come Aviator e strumenti per craccare wallet. Un singolo campione analizzato conteneva oltre 15.500 indirizzi wallet controllati dagli attaccanti, di cui circa 15.000 per Bitcoin e 500 per Ethereum — a dimostrazione della scala industriale che questi attacchi possono raggiungere.

⚠️ Disclaimer

Articolo a scopo informativo. Non costituisce consulenza finanziaria o di investimento. Le criptovalute sono asset ad alto rischio.