Cinquecento millisecondi. È ogni quanto questo malware controlla cosa hai copiato, in attesa che tu incolli l'indirizzo di un wallet per sostituirlo con quello di un ladro. Microsoft lo ha reso pubblico il 17 giugno 2026, e girava indisturbato da febbraio. Perché conta? Perché colpisce il gesto più banale che facciamo con le crypto: copiare e incollare un indirizzo.
Il nome tecnico è crypto clipper, e l'antivirus di Microsoft lo identifica come Trojan:Win32/CryptoBandits.A. Si diffonde attraverso chiavette USB infette, su sistemi Windows, ed è stato segnalato anche da Binance ai propri utenti. Non è un semplice ladro di dati: combina furto, capacità di propagarsi da solo e una porta di servizio per il controllo da remoto. La sezione hack raccoglie i casi simili.
Come funziona l'attacco?
La catena è ordinata e silenziosa, e non richiede quasi nessun clic consapevole:
- 1. Chiavetta infetta: I file veri vengono nascosti e sostituiti da scorciatoie camuffate da documenti.
- 2. Esecuzione: Aprendo la finta scorciatoia parte uno script che installa un worm, con attività pianificate per restare attivo dopo il riavvio.
- 3. Sorveglianza: Il malware controlla la clipboard di Windows ogni 500 millisecondi e cattura screenshot a intervalli regolari.
- 4. Furto e sostituzione: Cerca seed phrase e chiavi private, e quando copi un indirizzo lo scambia con quello dell'attaccante.
- 5. Esfiltrazione: I dati partono attraverso la rete Tor, che nasconde l'infrastruttura di chi attacca.
Since February 2026, Microsoft Defender Experts have tracked a cryptocurrency clipper campaign that combines clipboard theft, wallet address replacement, worm-like functionality, and Tor-based communications, enabling both financial gain and continued access to devices.…
— Microsoft Threat Intelligence (@MsftSecIntel) June 17, 2026
Perché è più pericoloso di un clipper normale
Tre dettagli alzano l'asticella. Il primo è la rete Tor: instradando le comunicazioni attraverso un proxy locale e indirizzi nascosti, il malware rende quasi invisibile chi c'è dall'altra parte. Il secondo è la porta di servizio: oltre a rubare, consente di eseguire altro codice in un secondo momento, aprendo la strada a ransomware e nuovi attacchi. Il terzo è il più subdolo.
Quando sostituisce l'indirizzo che hai copiato, ne genera uno che somiglia all'originale, con primi e ultimi caratteri simili, così un controllo distratto non si accorge dello scambio. Colpisce Bitcoin nei suoi vari formati, oltre a Ethereum, Tron e Monero. È esattamente il tipo di trappola che approfondiamo nella sezione truffe.
Come difendersi
La buona notizia è che le contromisure sono semplici e alla portata di tutti:
- Disattiva l'esecuzione automatica: Spegni AutoRun e AutoPlay per i dispositivi rimovibili, così le chiavette non lanciano nulla da sole.
- Non fidarti delle chiavette sconosciute: Tratta ogni supporto rimovibile di provenienza incerta come potenzialmente infetto.
- Verifica l'indirizzo per intero: Prima di inviare, controlla l'indirizzo completo, non solo i primi e gli ultimi caratteri.
- Usa un hardware wallet: Conferma l'indirizzo sullo schermo del dispositivo, dove il malware non arriva. Ne parliamo nella guida alla custodia.
Il punto debole, in fondo, è uno solo: la clipboard. È lì che si gioca il furto, nel mezzo secondo tra il copia e l'incolla. L'abitudine che disinnesca quasi tutto è banale e potentissima, controllare l'indirizzo per intero e confermarlo sul dispositivo fisico. Per gli aggiornamenti ufficiali restano i riferimenti di Microsoft e dell'Agenzia per la Cybersicurezza Nazionale, mentre i casi e gli attacchi li aggiorniamo nella sezione Bitcoin.
