Una nuova minaccia informatica sta prendendo di mira gli utenti di criptovalute combinando tecniche classiche di propagazione con funzionalità moderne di anonimizzazione e controllo remoto. Denominato Crypto Clipper, il malware è stato analizzato da Microsoft dopo una campagna attiva a partire da febbraio 2026 che ha mostrato capacità avanzate di furto di credenziali crittografiche, propagazione tramite dispositivi rimovibili e comunicazione anonima attraverso la rete Tor. La minaccia unisce le caratteristiche di un worm USB, di un clipboard hijacker e di un backdoor leggero, consentendo agli operatori di rubare seed phrase, chiavi private e indirizzi di wallet in tempo reale. L’utilizzo di servizi nascosti .onion e di un’infrastruttura di comando e controllo completamente anonima rende inoltre più complessa l’identificazione degli attaccanti e il tracciamento delle attività malevole. Secondo Microsoft, il malware viene rilevato come Trojan:Win32/CryptoBandits.A e rappresenta una delle campagne più interessanti emerse recentemente nel panorama delle minacce rivolte all’ecosistema crypto.
Cosa leggere
Crypto Clipper si diffonde attraverso chiavette USB infette
La caratteristica più evidente di Crypto Clipper è la presenza di un componente worm progettato per sfruttare le unità USB come vettore di propagazione. Gli attaccanti preparano dispositivi rimovibili contenenti file con estensione .lnk, ovvero collegamenti Windows che imitano documenti comuni come file Word, Excel o PDF. Quando la vittima apre il collegamento credendo di accedere a un documento legittimo, viene avviato il payload malevolo. Il worm procede immediatamente a nascondere i file originali presenti sull’unità e crea nuovi collegamenti che mantengono gli stessi nomi dei documenti autentici, inducendo ulteriormente l’utente all’errore. Questo approccio ricorda le campagne malware diffuse tramite supporti rimovibili nei primi anni 2000, ma viene adattato alle esigenze moderne del cybercrime legato alle criptovalute.
Il meccanismo worm garantisce una diffusione automatica
Una volta compromesso il sistema, il malware verifica se l’host risulta già infetto e procede al download dei componenti necessari dai server di comando e controllo. Successivamente monitora continuamente la presenza di nuove unità rimovibili collegate al computer. Ogni nuova chiavetta USB viene automaticamente infettata attraverso la copia dei componenti malevoli e la generazione di ulteriori file .lnk.
Questo comportamento permette al malware di spostarsi tra computer diversi senza ricorrere a vulnerabilità software o campagne di phishing. La propagazione fisica tramite dispositivi rimovibili risulta particolarmente efficace in contesti aziendali, ambienti industriali e reti isolate dove il trasferimento di file tramite chiavette USB continua a essere una pratica comune.
Tor garantisce anonimato alle comunicazioni
Uno degli aspetti più sofisticati dell’operazione riguarda l’integrazione della rete Tor. Il malware installa e avvia una versione portatile del client Tor rinominata ugate.exe, evitando così di attirare l’attenzione attraverso processi facilmente riconoscibili. Durante l’esecuzione viene configurato un proxy SOCKS5 locale sulla porta 9050, utilizzato per instradare tutte le comunicazioni verso i server controllati dagli attaccanti. Grazie a questa architettura, il traffico viene instradato attraverso la rete Tor e raggiunge esclusivamente servizi nascosti con dominio .onion. L’approccio garantisce un elevato livello di anonimato agli operatori della campagna e rende molto più difficile identificare l’infrastruttura reale utilizzata per il comando e controllo.
Registrazione della vittima e polling continuo del C2
Dopo l’inizializzazione del componente Tor, il malware genera un identificativo univoco della vittima e procede alla registrazione presso il server remoto. Una volta completata questa fase, entra in un ciclo continuo di interrogazione dell’infrastruttura di comando e controllo. Le richieste vengono inviate ogni 500 millisecondi, consentendo agli operatori di impartire istruzioni quasi in tempo reale. Questo modello di comunicazione permette di controllare centralmente migliaia di sistemi compromessi e di aggiornare rapidamente le funzionalità operative del malware. La frequenza particolarmente elevata delle comunicazioni rappresenta uno degli indicatori comportamentali che possono aiutare gli analisti di sicurezza a individuare la presenza dell’infezione.
Il clipper intercetta wallet, seed phrase e chiavi private
Il cuore della minaccia è rappresentato dal modulo clipper, progettato per monitorare costantemente gli appunti di Windows. Il software analizza ogni contenuto copiato dall’utente e cerca elementi compatibili con indirizzi di criptovalute, seed phrase BIP39, chiavi private e altri dati sensibili associati ai wallet digitali. Quando rileva una stringa riconducibile a un indirizzo di criptovaluta, il malware la sostituisce automaticamente con un indirizzo controllato dagli attaccanti. La vittima continua a visualizzare il contenuto copiato senza accorgersi della modifica e rischia di inviare i fondi direttamente ai criminali nel momento in cui completa la transazione.
Supporto per numerose criptovalute
L’analisi condotta da Microsoft mostra che Crypto Clipper supporta numerosi ecosistemi blockchain. Tra gli obiettivi principali figurano Bitcoin, Ethereum, Tron, Monero e altre criptovalute diffuse nel mercato globale. Il malware è in grado di riconoscere indirizzi appartenenti a differenti formati e protocolli, aumentando notevolmente la probabilità di successo delle operazioni di furto. Oltre agli indirizzi wallet, il software intercetta anche seed phrase da 12 o 24 parole e chiavi private in formato WIF, informazioni che consentono agli attaccanti di ottenere il controllo completo dei fondi detenuti dalle vittime.
Funzioni di spionaggio aggiuntive
Oltre alle capacità di manipolazione della clipboard, il malware integra funzionalità di raccolta informazioni. Il sistema acquisisce periodicamente screenshot del desktop e li invia all’infrastruttura di comando e controllo attraverso il canale Tor. Questa attività consente agli operatori di osservare il comportamento della vittima, identificare wallet utilizzati e raccogliere ulteriori informazioni utili per operazioni successive.
| Tattica (MITRE) | Attività Osservata | Copertura Microsoft Defender |
|---|---|---|
| Initial Access / Execution | Malicious .lnk, Python library load | EDR: Suspicious behavior cmd.exe / Python load |
| Execution | WScript / ActiveXObject runtime | AV: Behavior:Win64/PyPowJs.STA (Contebrew) |
| Discovery | Task Manager anti-analysis gate | (Segnalazione tramite EDR context) |
| Persistence | Scheduled Tasks (JS/XML) | EDR: Suspicious Task Scheduler activity |
| Defense Evasion | String shuffling, Task Manager check | Behavior:Win64/ProcessExclusion / PathExclusion |
| Collection | Clipboard theft, Screenshot capture | Trojan:Win32/CryptoBandits (A/B) |
| C2 / Exfiltration | Tor via SOCKS5 proxy (Curl) | EDR: Possible data exfiltration (CurlOnion) |
La combinazione di screenshot, dati copiati negli appunti e informazioni di sistema trasforma Crypto Clipper in una piattaforma di spionaggio relativamente completa, progettata specificamente per il furto di asset digitali.
Il comando EVAL trasforma il malware in un backdoor
Uno degli elementi più pericolosi individuati dagli analisti è la presenza del comando EVAL. Quando il server di comando e controllo invia questa istruzione, il malware riceve ed esegue codice JScript arbitrario sul sistema compromesso. Questa funzionalità consente agli operatori di modificare dinamicamente il comportamento dell’infezione senza distribuire nuove versioni del malware. In pratica Crypto Clipper può trasformarsi rapidamente in un backdoor capace di eseguire ulteriori attività, scaricare payload aggiuntivi o ampliare la compromissione della macchina bersaglio. Questa flessibilità aumenta significativamente il rischio associato all’infezione e permette agli attaccanti di adattare le proprie operazioni in base al valore della vittima.
Tecniche di evasione contro gli analisti
Per ridurre il rischio di individuazione, il malware implementa alcuni meccanismi di evasione. Uno dei più curiosi consiste nella terminazione automatica del processo quando viene rilevata l’apertura di Task Manager. Questa semplice tecnica permette di evitare che utenti o analisti possano osservare facilmente i processi attivi durante una verifica manuale del sistema. Sebbene non si tratti di una protezione avanzata contro le sandbox professionali, rappresenta comunque un ostacolo per gli utenti meno esperti che tentano di identificare attività sospette sul proprio computer.
Persistenza attraverso attività pianificate
Crypto Clipper mantiene la propria presenza sul sistema creando due differenti Scheduled Tasks. Una attività è dedicata alla propagazione del worm sulle unità USB, mentre la seconda garantisce il funzionamento continuo del modulo di furto delle criptovalute.
| Tattica (MITRE) | Attività Osservata | Copertura Microsoft Defender |
|---|---|---|
| Initial Access / Execution | Malicious .lnk, Python library load | EDR: Suspicious behavior cmd.exe / Python load |
| Execution | WScript / ActiveXObject runtime | AV: Behavior:Win64/PyPowJs.STA (Contebrew) |
| Discovery | Task Manager anti-analysis gate | (Segnalazione tramite EDR context) |
| Persistence | Scheduled Tasks (JS/XML) | EDR: Suspicious Task Scheduler activity |
| Defense Evasion | String shuffling, Task Manager check | Behavior:Win64/ProcessExclusion / PathExclusion |
| Collection | Clipboard theft, Screenshot capture | Trojan:Win32/CryptoBandits (A/B) |
| C2 / Exfiltration | Tor via SOCKS5 proxy (Curl) | EDR: Possible data exfiltration (CurlOnion) |
I componenti vengono archiviati all’interno di directory create sotto C:\Users\Public\Documents e utilizzano nomi casuali composti da cinque caratteri per rendere più difficile il riconoscimento. Inoltre i payload vengono mantenuti cifrati e vengono decrittati soltanto durante l’esecuzione, complicando l’analisi statica dei file presenti sul disco.
Microsoft Defender e gli indicatori di compromissione
Microsoft ha aggiornato le proprie soluzioni di sicurezza per rilevare la minaccia con la denominazione Trojan:Win32/CryptoBandits.A. Gli indicatori di compromissione includono l’esecuzione di script che generano processi come PowerShell, cmd e curl, l’utilizzo persistente della porta locale 9050 per il traffico Tor e attività di monitoraggio continuo degli appunti combinate con comunicazioni di rete anomale. Il rilevamento comportamentale assume particolare importanza poiché l’utilizzo della cifratura e dei servizi nascosti può limitare l’efficacia delle tradizionali analisi basate sulle firme.
Come difendersi dal malware Crypto Clipper
Microsoft raccomanda diverse misure di mitigazione. La più importante consiste nel limitare o disabilitare l’esecuzione automatica di contenuti provenienti da unità rimovibili. È inoltre consigliabile bloccare l’esecuzione di file .lnk provenienti da chiavette USB e applicare regole di Attack Surface Reduction per limitare l’avvio di script potenzialmente pericolosi. Gli utenti che operano nel settore delle criptovalute dovrebbero verificare sempre manualmente gli indirizzi wallet prima di confermare una transazione, prestando particolare attenzione alle ultime e alle prime cifre dell’indirizzo di destinazione. L’utilizzo di wallet hardware, l’isolamento dei sistemi utilizzati per la gestione delle criptovalute e il monitoraggio del traffico verso la porta 9050 rappresentano ulteriori misure utili per ridurre il rischio di compromissione. Crypto Clipper dimostra come le minacce rivolte all’ecosistema crypto continuino a evolvere, combinando tecniche consolidate come i worm USB con infrastrutture anonime moderne basate sulla rete Tor.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
