Microsoft ha pubblicato il 19 giugno 2026 un avviso di sicurezza su una campagna malware mirata ai portafogli crypto: un clipper virus per Windows capace di diffondersi tramite chiavette USB, intercettare gli indirizzi degli wallet nel clipboard e sostituirli silenziosamente con quelli dell’attaccante. Il rapporto, firmato dal team Microsoft Threat Intelligence, identifica il malware come una variante avanzata di clipboard hijacker che installa un worm persistente nei file di collegamento del sistema operativo.
Come funziona il clipper malware che ruba Bitcoin
Il meccanismo d’attacco si sviluppa in tre fasi. Nella prima, il malware si propaga attraverso file .lnk (shortcut) modificati su supporti rimovibili come chiavette USB: quando la vittima apre la periferica su un PC Windows, il worm si installa automaticamente. Nella seconda fase, il codice malevolo monitora in tempo reale il contenuto del clipboard di Windows: non appena rileva una stringa che assomiglia a un indirizzo di portafoglio crypto (Bitcoin, Ethereum o altri), la sostituisce con l’indirizzo controllato dall’attaccante. Nella terza, le transazioni outbound vengono instradata attraverso la rete Tor (The Onion Router, sistema di anonimizzazione del traffico internet) per mascherare la destinazione reale dei fondi.
Il risultato pratico è devastante: l’utente copia un indirizzo Bitcoin per effettuare un bonifico, ma nel momento in cui incolla e conferma la transazione, i fondi vengono inviati al criminale. La natura irreversibile delle transazioni Bitcoin rende il recupero dei fondi praticamente impossibile.
Quali portafogli sono nel mirino
Secondo Microsoft, il malware non discrimina per tipo di wallet: sono stati identificati moduli di targeting per oltre 20 tipologie di portafoglio crypto, tra cui Bitcoin Core, Electrum, Exodus, MetaMask, Ledger Live e Trust Wallet. La campagna si distingue per la sua architettura modulare: ogni modulo è aggiornabile da remoto, consentendo agli operatori di aggiungere nuovi target senza ridistribuire l’intero payload.
| Caratteristica | Dettaglio |
|---|---|
| Vettore di diffusione | Chiavette USB (file .lnk modificati) |
| Meccanismo principale | Clipboard hijacking su indirizzi wallet |
| Anonimizzazione | Rete Tor per mascherare il traffico |
| Wallet target | 20+ tipologie (BTC, ETH, e altri) |
| Persistenza | Worm installato nei file shortcut di sistema |
| Aggiornabilità | Moduli remoti aggiornabili dagli attaccanti |
Perché il clipboard hijacking è una minaccia sottovalutata
Il clipboard hijacking è una tecnica documentata dal 2017, ma la sua efficacia nel 2026 non è diminuita. Il motivo è strutturale: gli indirizzi Bitcoin sono stringhe di 26-34 caratteri alfanumerici che quasi nessun utente verifica manualmente prima di confermare la transazione. Secondo l’analisi Chainalysis sul crimine crypto, questa tipologia di attacco risulta difficile da tracciare proprio perché sfrutta comportamenti normali dell’utente — il copia-incolla — invece di vulnerabilità tecniche.
La verifica visiva è resa ancora più difficile dal fatto che molti wallet mostrano solo le prime e le ultime 4-6 cifre dell’indirizzo. I criminali spesso generano indirizzi con prefisso o suffisso simile a quello del wallet target, riducendo ulteriormente le probabilità di rilevamento da parte della vittima.
Come proteggersi: le contromisure consigliate da BitcoinLive24
Microsoft ha già aggiornato Windows Defender per rilevare le varianti note di questa campagna, ma la redazione di BitcoinLive24 sottolinea alcune pratiche fondamentali:
- Verificare sempre l’intero indirizzo prima di confermare una transazione, non solo le prime e ultime cifre.
- Non usare PC condivisi o sconosciuti per operazioni con wallet crypto.
- Evitare chiavette USB di origine incerta, specialmente in ambienti aziendali o pubblici.
- Usare wallet hardware (Ledger, Trezor): questi dispositivi mostrano l’indirizzo di destinazione sul proprio display, rendendo inutile il clipboard hijacking.
- Aggiornare Windows Defender e il sistema operativo all’ultima versione disponibile.
- Abilitare la whitelist degli indirizzi se il wallet in uso lo supporta.
Il contesto: i clipper malware e Bitcoin nel 2026
I clipper malware crypto hanno causato perdite per centinaia di milioni di dollari negli ultimi 12 mesi, secondo i ricercatori di sicurezza che monitorano questa tipologia di attacchi. Il monitoraggio delle minacce Bitcoin curato da BitcoinLive24 evidenzia che i furti tramite clipboard hijacking sono in costante crescita dal 2023, con il vettore USB che è diventato particolarmente insidioso in contesti aziendali dove le chiavette vengono condivise tra colleghi.
Microsoft precisa che la campagna individuata il 19 giugno 2026 è attiva da almeno tre mesi e ha colpito utenti in più di 15 paesi, con concentrazione in Europa orientale, Asia meridionale e America Latina. La rete Tor utilizzata per il traffico rende difficile attribuire l’attacco a un singolo gruppo criminale.
Conclusione
La scoperta di Microsoft ricorda che la sicurezza Bitcoin non riguarda solo la custodia delle chiavi private, ma l’intera catena operativa: dal PC che si usa alle periferiche che si collegano. Un semplice clipboard hijacker, installato da una chiavetta USB presa da un collega, può vanificare anni di buone pratiche di self-custody. L’unica difesa affidabile contro questa tipologia di attacco rimane la verifica manuale dell’intero indirizzo prima di ogni transazione.
Per ricevere avvisi in tempo reale su minacce alla sicurezza Bitcoin, Scarica l’app BitcoinLive24.
Domande frequenti (FAQ)
Che cos’è un clipper malware per Bitcoin?
Un clipper malware è un software malevolo che monitora il clipboard (appunti) di Windows e sostituisce automaticamente gli indirizzi crypto copiati con quelli controllati dall’attaccante, dirottando così le transazioni verso il criminale.
Come si diffonde questo malware secondo Microsoft?
Secondo il rapporto Microsoft del 19 giugno 2026, il malware si diffonde tramite file di collegamento (.lnk) modificati su chiavette USB. L’infezione avviene automaticamente quando la vittima apre la periferica su un sistema Windows vulnerabile.
I fondi Bitcoin rubati tramite clipper possono essere recuperati?
No. Le transazioni Bitcoin sono irreversibili per design: una volta confermata la transazione verso l’indirizzo sbagliato, i fondi sono definitivamente persi. Non esiste autorità centrale che possa annullare il trasferimento.
Un wallet hardware protegge dal clipboard hijacking?
Sì. I wallet hardware (Ledger, Trezor e simili) mostrano l’indirizzo di destinazione direttamente sul proprio display interno, consentendo all’utente di verificarlo prima di firmare la transazione, rendendo inutile il clipboard hijacking.
Windows Defender rileva questo malware?
Microsoft ha aggiornato Windows Defender per rilevare le varianti note identificate nel rapporto del 19 giugno 2026. È fondamentale mantenere il sistema operativo e l’antivirus aggiornati all’ultima versione disponibile.
Nota: questo articolo è a scopo informativo e non costituisce consulenza finanziaria. Fonte: Bitcoinist.
