Microsoft scopre nuova backdoor sfruttata per rubare criptovalute

Microsoft ha individuato una nuova famiglia di malware progettata per sottrarre criptovalute attraverso una tecnica tanto semplice quanto efficace: la sostituzione automatica degli indirizzi dei wallet copiati negli appunti di Windows.

La campagna, monitorata dai ricercatori a partire da febbraio 2026 e battezzata Crypto Clipper, introduce però un elemento particolarmente preoccupante rispetto ai tradizionali clipper: la capacità di propagarsi autonomamente tra sistemi diversi attraverso chiavette USB, con meccanismi tipici dei worm informatici.

A differenza delle frodi bancarie tradizionali, una transazione blockchain completata è generalmente irreversibile, rendendo questo tipo di attacco particolarmente devastante per le vittime.

Come funziona l’attacco e come si diffonde

Il principio operativo è relativamente semplice. Il malware monitora continuamente il contenuto degli appunti di Windows alla ricerca di stringhe compatibili con indirizzi di portafogli crypto.

Quando ne rileva uno, lo sostituisce immediatamente con un indirizzo controllato dagli attaccanti. Se la vittima non verifica attentamente il destinatario prima di confermare la transazione, i fondi vengono inviati ai criminali senza alcun segnale evidente di compromissione.

La tecnica non richiede l’accesso alle chiavi private e non sfrutta vulnerabilità della blockchain: si concentra esclusivamente sull’errore umano, approfittando del fatto che gli indirizzi crypto sono sequenze alfanumeriche lunghe e difficili da controllare.

L’elemento più innovativo riguarda la diffusione autonoma. L’infezione iniziale avviene attraverso file LNK malevoli distribuiti su dispositivi USB rimovibili. Una volta eseguito, il malware crea copie di sé stesso e tenta di propagarsi verso altre unità collegate al sistema. Questa modalità ricorda i worm che in passato sfruttavano supporti rimovibili per diffondersi nelle reti aziendali, con un vantaggio preciso: il malware può raggiungere sistemi isolati da Internet e ambienti parzialmente separati dalle reti esterne.

Dopo l’infezione, il malware stabilisce comunicazioni con l’infrastruttura degli attaccanti tramite la rete Tor, rendendo più complessa l’identificazione dei server di comando e controllo. Gli analisti hanno rilevato anche funzionalità assimilabili a una backdoor definita “leggera”, che consente agli operatori di mantenere accesso ai sistemi compromessi per attività successive. Per ridurre la probabilità di rilevamento, la campagna sfrutta componenti legittimi di Windows come PowerShell, WScript e CScript, una tecnica nota come Living off the Land.

Come proteggersi dal Crypto Clipper

Per limitare il rischio, Microsoft raccomanda di disattivare AutoRun e AutoPlay per i dispositivi rimovibili e di bloccare l’esecuzione di file LNK provenienti da supporti USB attraverso le policy di sistema.

Gli amministratori dovrebbero monitorare l’uso anomalo di PowerShell e degli interpreti di script, adottando strumenti di rilevamento comportamentale capaci di identificare attività sospette anche in assenza di firme malware tradizionali.

Per gli utenti che effettuano transazioni in criptovaluta rimane fondamentale verificare sempre l’indirizzo completo del destinatario prima dell’invio, non soltanto le prime e ultime cifre. L’utilizzo di hardware wallet con display indipendente può ridurre ulteriormente il rischio, purché venga controllato attentamente l’indirizzo mostrato dal dispositivo.

Crypto Clipper dimostra come il furto di criptovalute stia evolvendo verso minacce sempre più simili ai worm tradizionali, colpendo i dispositivi degli utenti finali anziché le piattaforme di exchange.