Microsoft Threat Intelligence ha pubblicato il 22 giugno 2026 un avviso su CryptoBandits, un worm per Windows che si propaga tramite chiavette USB e sostituisce silenziosamente gli indirizzi Bitcoin copiati negli appunti (clipboard) con quelli controllati dagli attaccanti. Il malware è attivo almeno da febbraio 2026 e utilizza la rete Tor per esfiltrare i dati delle vittime.
Come funziona CryptoBandits: il clipboard hijacking che svuota i wallet
Il meccanismo di attacco sfrutta un comportamento comune di chi usa Bitcoin: copiare e incollare l’indirizzo di destinazione prima di inviare una transazione. CryptoBandits monitora il contenuto degli appunti di sistema in tempo reale e, appena rileva una stringa che assomiglia a un indirizzo crittografico, la sostituisce con un indirizzo controllato dagli attaccanti. Il risultato è che il mittente invia i fondi al ladro, convinto di stare usando il proprio indirizzo.
Secondo l’analisi di Microsoft, il worm colpisce portafogli Bitcoin (BTC), Monero (XMR) e Tron (TRX). La diffusione avviene tramite unità USB infette: quando il dispositivo viene collegato a un computer Windows vulnerabile, il malware si installa automaticamente senza che l’utente debba aprire alcun file. Le comunicazioni con i server di comando e controllo avvengono su rete Tor, rendendo più difficile il tracciamento degli operatori.
Da quando è attivo e chi è nel mirino
Microsoft ha rilevato le prime tracce di CryptoBandits a partire da febbraio 2026. Il target principale è l’utente Windows che gestisce wallet crypto senza misure di sicurezza avanzate: chi usa software di portafogli desktop, chi copia indirizzi da exchange o block explorer e chi lavora con chiavette USB condivise in ambienti di lavoro o contesti domestici.
La minaccia non riguarda esclusivamente piccoli investitori retail. Anche i professionisti che gestiscono operazioni Bitcoin per conto terzi — come amministratori di tesoreria aziendali o operatori di exchange non custodiali — potrebbero essere esposti se operano da macchine Windows non aggiornate o prive di protezione avanzata degli appunti.
| Caratteristica | Dettaglio |
|---|---|
| Nome malware | CryptoBandits |
| Sistema colpito | Windows (tutte le versioni recenti) |
| Vettore di diffusione | Chiavette USB infette |
| Tecnica | Clipboard hijacking |
| Criptovalute bersaglio | Bitcoin (BTC), Monero (XMR), Tron (TRX) |
| Esfiltrazione dati | Rete Tor |
| Attivo dal | Febbraio 2026 |
| Fonte avviso | Microsoft Threat Intelligence (giugno 2026) |
Perché il clipboard hijacking è una minaccia sottovalutata
Il clipboard hijacking non è una tecnica nuova nel panorama delle minacce crypto, ma la sua efficacia rimane alta perché sfrutta un’abitudine consolidata: la maggior parte degli utenti non verifica manualmente ogni cifra di un indirizzo Bitcoin dopo averlo incollato. Gli indirizzi BTC nativi (formato bech32, es. bc1q...) contengono 42 caratteri alfanumerici e un controllo visivo completo è impraticabile nella pratica quotidiana.
Come ha analizzato BitcoinLive24 in questo articolo sull’attività di rete, l’ecosistema Bitcoin conta oggi oltre 800.000 transazioni giornaliere: una superficie d’attacco enorme per chi vuole intercettare operazioni in transito. Un singolo worm ben distribuito può raccogliere decine di BTC nel tempo senza mai destare sospetti fino alla riconciliazione dei conti.
Come proteggersi: le misure essenziali
La prevenzione contro CryptoBandits e le minacce simili richiede un cambio di abitudini operative, non solo un aggiornamento software. La redazione di BitcoinLive24 riassume le misure più efficaci:
- Verifica sempre i primi e ultimi 6 caratteri dell’indirizzo incollato rispetto all’originale, prima di confermare qualsiasi transazione.
- Usa hardware wallet con display integrato (Ledger, Trezor, Coldcard): l’indirizzo di destinazione viene mostrato sul dispositivo fisico, indipendentemente da ciò che appare sullo schermo del PC.
- Non collegare chiavette USB di provenienza sconosciuta a macchine dove gestisci fondi crypto.
- Mantieni Windows aggiornato e attiva Windows Defender in tempo reale, che secondo Microsoft rileva CryptoBandits dopo l’aggiornamento delle firme di giugno 2026.
- Considera un sistema operativo dedicato (es. Linux o macOS) per le operazioni Bitcoin, riducendo l’esposizione ai worm Windows.
Chi usa portafogli software su Windows dovrebbe verificare immediatamente se il proprio sistema è stato esposto a chiavette USB esterne nelle ultime settimane. Come riportato nell’analisi sull’ecosistema Bitcoin pubblicata da BitcoinLive24, la self-custody rimane il pilastro della sicurezza — ma richiede consapevolezza operativa costante.
Il contesto: la sicurezza Bitcoin nel 2026
CryptoBandits si inserisce in un quadro più ampio di minacce fisiche e digitali che prendono di mira i detentori di Bitcoin. Negli stessi giorni in cui Microsoft ha pubblicato il proprio avviso, utenti di Coldcard — uno degli hardware wallet più diffusi tra i Bitcoiner esperti — hanno segnalato tentativi di phishing via posta fisica: lettere che imitano comunicazioni ufficiali del produttore, invitando le vittime a inserire il dispositivo in un computer compromesso.
L’evoluzione delle minacce segnala che i criminali specializzati in furti crypto stanno diversificando i vettori di attacco: non più solo phishing online o malware scaricato da siti malevoli, ma vettori fisici (USB, posta) pensati per aggirare le protezioni perimetrali più comuni. Per i possessori di Bitcoin che credono nella self-custody, il perimetro di sicurezza si estende ormai ben oltre lo schermo del computer.
La notizia è stata originariamente riportata da TFTC, che ha analizzato il disclosure di Microsoft Threat Intelligence.
Conclusione
CryptoBandits è un promemoria brutale: possedere Bitcoin in self-custody richiede disciplina operativa, non solo la scelta del wallet giusto. Un worm distribuito via USB, attivo da mesi in silenzio, dimostra che gli attaccanti sono pazienti e metodici. La risposta deve essere altrettanto sistematica: verificare ogni indirizzo, non connettere hardware non fidato, tenere i sistemi aggiornati.
Vuoi ricevere aggiornamenti di sicurezza Bitcoin in tempo reale? Scarica l’app BitcoinLive24 e attiva le notifiche push per i bollettini di sicurezza.
FAQ — Domande frequenti su CryptoBandits
Cos’è CryptoBandits e come ruba Bitcoin?
CryptoBandits è un worm Windows che sostituisce automaticamente gli indirizzi Bitcoin negli appunti (clipboard) con indirizzi controllati dagli attaccanti. Quando l’utente incolla l’indirizzo per inviare una transazione, i fondi vengono dirottati verso il ladro senza che il mittente se ne accorga.
Come si diffonde il worm CryptoBandits?
CryptoBandits si propaga tramite chiavette USB infette: basta collegare il dispositivo a un computer Windows vulnerabile perché il malware si installi automaticamente. Una volta attivo, comunica con i server di controllo attraverso la rete Tor per esfiltrare i dati.
Quali criptovalute sono nel mirino di CryptoBandits?
Il malware prende di mira principalmente Bitcoin (BTC), ma colpisce anche Monero (XMR) e Tron (TRX). Gli indirizzi di tutte e tre le criptovalute possono essere sostituiti nel clipboard durante una transazione.
Come posso proteggermi da CryptoBandits?
Le misure più efficaci sono: usare un hardware wallet con display fisico che mostra l’indirizzo di destinazione indipendentemente dal PC, verificare manualmente i primi e ultimi caratteri di ogni indirizzo prima di confermare, non collegare USB di provenienza sconosciuta e mantenere Windows aggiornato con le definizioni di sicurezza di giugno 2026.
Windows Defender rileva CryptoBandits?
Sì, secondo Microsoft Threat Intelligence, Windows Defender è in grado di rilevare CryptoBandits dopo l’aggiornamento delle firme rilasciato a giugno 2026. È fondamentale che il sistema di protezione sia attivo e aggiornato in tempo reale.
