Un worm Windows chiamato CryptoBandits (Trojan:Win32/CryptoBandits.A) sostituisce in silenzio gli indirizzi Bitcoin nel clipboard, reindirizzando i pagamenti verso i portafogli degli attaccanti. Microsoft Threat Intelligence ha divulgato pubblicamente la campagna il 17 giugno 2026, rivelando che è attiva almeno da febbraio 2026. Il rischio riguarda tutti gli utenti Windows che gestiscono Bitcoin in self-custody, compreso chi usa hardware wallet.
Come Funziona il Worm CryptoBandits
CryptoBandits si diffonde tramite file di scorciatoia Windows (.lnk) nascosti su chiavette USB infette. Quando un utente clicca su un file .lnk malevolo, il malware si installa sulla macchina. Da quel momento, interroga il clipboard ogni 500 millisecondi: appena rileva un indirizzo Bitcoin, sostituisce silenziosamente l’indirizzo originale con quello dell’attaccante prima che l’utente incolli la destinazione nel software di pagamento.
Il malware riconosce tutti e quattro i formati di indirizzo Bitcoin: legacy (1…), P2SH (3…), native SegWit (bc1q…) e Taproot (bc1p…). Prende di mira anche indirizzi Tron e Monero. Quando intercetta frasi seed BIP39, chiavi private o screenshot sensibili, li invia a un server C2 sulla rete Tor tramite un client Tor locale configurato come proxy SOCKS5 (localhost:9050).
Il server di controllo supporta un comando EVAL, che permette agli operatori di eseguire codice arbitrario da remoto sulle macchine già infette. Per rallentare l’analisi forense, il malware termina automaticamente se rileva Task Manager in esecuzione. L’installer è offuscato con Python, PyArmor e PyInstaller; i payload secondari vengono scaricati in C:\Users\Public\Documents.
Perché gli Hardware Wallet Non Proteggono
Possedere un hardware wallet non protegge da CryptoBandits. Il dispositivo firma la transazione che gli viene presentata, non quella che l’utente intendeva creare. Se il malware ha già sostituito l’indirizzo nel clipboard prima che l’utente lo incolli nel software, il dispositivo hardware autorizzerà un pagamento verso il portafoglio dell’attaccante.
L’unica difesa efficace è verificare l’indirizzo di destinazione carattere per carattere sullo schermo del dispositivo hardware, prima di confermare ogni transazione. Affidarsi all’indirizzo visualizzato sul monitor Windows è insufficiente se il sistema è compromesso.
Il rischio si estende ai workflow air-gapped: CryptoBandits si propaga automaticamente alle chiavette USB pulite inserite in una macchina infetta, potenzialmente trasportando il worm nel dispositivo di firma della catena operativa. Solo una macchina dedicata alla firma che non abbia mai contattato un host Windows elimina questa superficie d’attacco.
Quattro Mesi di Attività Inosservata
Secondo Microsoft Defender Experts, CryptoBandits è operativo da almeno febbraio 2026, quattro mesi prima della divulgazione pubblica del 17 giugno. Nel comunicato ufficiale, i ricercatori descrivono la campagna come “una combinazione di furto di clipboard, sostituzione di indirizzi wallet, funzionalità simile a un worm e comunicazioni basate su Tor, che consentono sia il guadagno finanziario sia l’accesso continuato ai dispositivi”.
Microsoft non ha attribuito la campagna a un attore specifico e non ha divulgato il numero di vittime né l’ammontare totale sottratto. Non è stato nemmeno confermato che la campagna sia cessata. Gli indicatori di compromissione (hash SHA-256), le mappature MITRE ATT&CK e le query KQL per la threat hunting sono disponibili nel Microsoft Security Blog del 17 giugno 2026.
Sicurezza Bitcoin: un Tema Sempre più Centrale
La divulgazione di CryptoBandits rientra in un trend più ampio di attenzione crescente sulla sicurezza della custodia Bitcoin. Come abbiamo riportato su BitcoinLive24, gli sviluppatori di Bitcoin Core stanno lavorando a miglioramenti del protocollo che riguardano la gestione delle transazioni, mentre a livello legale continuano le controversie sui wallet Bitcoin dormienti.
Il vettore di CryptoBandits opera però al di fuori dello strato Bitcoin — nell’infrastruttura del sistema operativo. Il protocollo Bitcoin ha funzionato esattamente come progettato: il furto avviene nella finestra di 500 millisecondi tra copia e incolla, a livello di sistema operativo.
Come Proteggersi da CryptoBandits
| Misura di sicurezza | Efficacia |
|---|---|
| Verificare indirizzo carattere per carattere sull’hardware wallet | Alta — difesa principale |
| Aggiornare Microsoft Defender (rileva Trojan:Win32/CryptoBandits.A) | Alta — rilevamento confermato |
| Non inserire USB di origine sconosciuta su macchine Windows BTC | Alta — blocca il vettore primario |
| Monitorare connessioni a localhost:9050 | Media — segnale comportamentale |
| Usare macchina dedicata non-Windows per firma transazioni | Molto alta — elimina la superficie |
Scarica l’app BitcoinLive24 per ricevere aggiornamenti istantanei su minacce alla sicurezza Bitcoin e notizie dal mercato globale.
FAQ — Domande Frequenti su CryptoBandits
Cos’è CryptoBandits e come ruba i Bitcoin?
CryptoBandits (Trojan:Win32/CryptoBandits.A) è un worm Windows che sostituisce silenziosamente gli indirizzi Bitcoin nel clipboard ogni 500 millisecondi, reindirizzando i pagamenti verso i portafogli degli attaccanti. Ruba anche frasi seed BIP39, chiavi private e screenshot, inviandoli via Tor. È attivo da almeno febbraio 2026 e prende di mira Bitcoin in tutti e quattro i formati (legacy, P2SH, SegWit, Taproot), oltre a Tron e Monero.
Un hardware wallet protegge da CryptoBandits?
Non completamente. L’hardware wallet firma la transazione presentata: se CryptoBandits ha già sostituito l’indirizzo nel clipboard prima dell’incolla, il dispositivo autorizzerà un pagamento verso il portafoglio dell’attaccante. La protezione richiede di verificare l’intero indirizzo di destinazione carattere per carattere sullo schermo del dispositivo hardware prima di firmare ogni transazione.
Come si propaga CryptoBandits e come posso verificare se sono infetto?
CryptoBandits si diffonde tramite file .lnk malevoli su chiavette USB, replicandosi su ogni USB pulita inserita in una macchina infetta. Per verificare l’infezione, Microsoft ha pubblicato hash SHA-256 e query KQL nel Security Blog del 17 giugno 2026. I segnali chiave: connessioni a localhost:9050 (proxy Tor) e processi script che avviano processi figlio inattesi. Microsoft Defender Antivirus rileva Trojan:Win32/CryptoBandits.A con gli aggiornamenti recenti.
