Microsoft Threat Intelligence ha segnalato un nuovo worm per Windows chiamato CryptoBandits, attivo almeno da febbraio 2026, che si diffonde tramite chiavette USB e sostituisce silenziosamente gli indirizzi di portafoglio copiati negli appunti di sistema. Il malware prende di mira Bitcoin, Tron e Monero, intercettando le transazioni prima che l’utente se ne accorga, e invia i dati rubati attraverso la rete anonima Tor. La segnalazione, pubblicata il 22 giugno 2026, ha sollevato l’attenzione della comunità Bitcoin sulla sicurezza dei dispositivi Windows.
Come Funziona il Worm CryptoBandits
CryptoBandits è un clipboard hijacker (dirottatore degli appunti): rimane in ascolto nel sistema operativo e, ogni volta che l’utente copia un indirizzo di criptovaluta, lo sostituisce istantaneamente con un indirizzo controllato dall’attaccante. L’operazione è invisibile a occhio nudo: chi incolla l’indirizzo nel proprio wallet non nota alcuna differenza evidente.
La propagazione avviene tramite chiavette USB infette. Basta collegare un dispositivo compromesso a un computer Windows perché il worm si installi automaticamente, senza richiedere alcuna azione da parte dell’utente. Una volta eseguito, stabilisce una connessione con server di comando e controllo attraverso Tor, rendendo difficile il tracciamento degli operatori.
Quali Criptovalute Sono nel Mirino
Secondo il rapporto di Microsoft Threat Intelligence, CryptoBandits intercetta indirizzi wallet per tre criptovalute:
| Criptovaluta | Tipologia indirizzo | Rischio |
|---|---|---|
| Bitcoin (BTC) | Indirizzi P2PKH, P2SH, Bech32 | Elevato |
| Tron (TRX) | Indirizzi con prefisso T | Elevato |
| Monero (XMR) | Indirizzi stealth lunghi | Medio |
Bitcoin rimane il bersaglio primario per il valore economico più elevato. Una singola transazione Bitcoin intercettata può valere decine di migliaia di euro, rendendo il worm particolarmente redditizio per i criminali anche con una base di infezione relativamente piccola.
Da Febbraio 2026: una Minaccia Silenziosa
Microsoft ha confermato che CryptoBandits è attivo almeno da febbraio 2026, circa quattro mesi prima della segnalazione pubblica. Il periodo di silenzio suggerisce che il malware ha operato inosservato per mesi, potenzialmente sottraendo fondi a un numero significativo di vittime. La natura furtiva del clipboard hijacking — la transazione appare formalmente corretta fino alla conferma in blockchain — rende difficile accorgersi del furto se non si verifica manualmente ogni indirizzo destinazione.
L’uso di Tor per le comunicazioni con l’infrastruttura di comando rende particolarmente arduo risalire agli operatori. Come riportato da TFTC, i ricercatori di Microsoft descrivono CryptoBandits come un’operazione strutturata, non un exploit occasionale.
Come Proteggersi: Guida Pratica
La difesa da CryptoBandits richiede semplici abitudini di sicurezza, valide anche per altri malware analoghi:
- Verificare sempre l’indirizzo destinazione dopo averlo incollato, confrontando almeno i primi e gli ultimi 6-8 caratteri con l’originale
- Non collegare chiavette USB di provenienza sconosciuta a computer che si usano per gestire wallet Bitcoin
- Mantenere aggiornato Windows Defender: Microsoft ha già aggiunto firme di rilevamento per CryptoBandits
- Usare hardware wallet dedicati (come Coldcard o Ledger) che mostrano l’indirizzo direttamente sul display del dispositivo fisico, ignorando gli appunti di sistema
- Considerare un sistema operativo dedicato per le transazioni Bitcoin, separato dal computer di uso quotidiano
Come approfondito in precedenza da BitcoinLive24, la sicurezza fisica dei dispositivi rimane uno dei punti critici per chi detiene Bitcoin in self-custody. Puoi leggere altri approfondimenti sulla sicurezza Bitcoin nella nostra sezione Novità.
Il Contesto: Malware Clipboard in Crescita
CryptoBandits non è un caso isolato. Il clipboard hijacking è una tecnica documentata da almeno il 2018, ma la sua evoluzione in forma di worm USB che si auto-propaga rappresenta un salto qualitativo nella pericolosità. La combinazione tra auto-replicazione fisica (USB), intercettazione silenziosa e esfiltrazione via Tor crea uno strumento che può diffondersi anche in reti isolate da Internet.
Per gli utenti Bitcoin che usano computer Windows per gestire fondi, la regola d’oro rimane sempre la stessa: mai fidarsi degli appunti di sistema per indirizzi di criptovalute. Ogni importo significativo merita una verifica manuale dell’indirizzo, carattere per carattere.
Segui gli aggiornamenti su questa e altre notizie Bitcoin sulla nostra pagina Novità di BitcoinLive24, oppure ricevi avvisi in tempo reale scaricando l’app BitcoinLive24.
FAQ: CryptoBandits e la Sicurezza Bitcoin
Cos’è CryptoBandits?
CryptoBandits è un worm per Windows scoperto da Microsoft Threat Intelligence che si diffonde tramite chiavette USB e sostituisce gli indirizzi Bitcoin, Tron e Monero copiati negli appunti di sistema con indirizzi controllati dai criminali, dirottando le transazioni verso portafogli degli attaccanti.
Da quando è attivo il worm CryptoBandits?
Microsoft ha confermato che CryptoBandits è attivo almeno da febbraio 2026, circa quattro mesi prima della segnalazione pubblica avvenuta il 22 giugno 2026. Il lungo periodo di attività silenziosa suggerisce che il malware ha colpito un numero significativo di vittime prima di essere identificato.
Come mi proteggo dal clipboard hijacking su Bitcoin?
Per proteggersi dal clipboard hijacking su Bitcoin è fondamentale verificare sempre l’indirizzo destinazione dopo averlo incollato, confrontando almeno i primi e gli ultimi 6-8 caratteri. L’uso di un hardware wallet (come Coldcard o Ledger) elimina il rischio perché l’indirizzo viene mostrato direttamente sul display fisico del dispositivo. Evitare anche di collegare USB di provenienza sconosciuta al computer usato per gestire Bitcoin.
Windows Defender rileva CryptoBandits?
Sì. Microsoft ha già aggiunto firme di rilevamento per CryptoBandits a Windows Defender dopo la divulgazione pubblica del 22 giugno 2026. Mantenere aggiornato il sistema operativo e l’antivirus è sufficiente per neutralizzare le varianti note del worm, anche se nuove varianti potrebbero eludere temporaneamente il rilevamento.
Il worm CryptoBandits colpisce solo Bitcoin?
No, CryptoBandits intercetta indirizzi di portafoglio per Bitcoin (BTC), Tron (TRX) e Monero (XMR). Bitcoin rimane il bersaglio primario per il valore economico più elevato, ma il malware è progettato per colpire qualsiasi transazione in queste tre criptovalute effettuata su sistemi Windows infetti.
