Come una chiavetta USB scartata si è trasformata in un silenzioso ladro di criptovalute

Un senior developer presso una società fintech boutique ha notato un'anomalia nelle transazioni del suo hardware wallet martedì scorso. Ha tentato di inviare 0,5 Bitcoin a un indirizzo di cold storage che aveva utilizzato decine di volte. Ha copiato l'indirizzo dal suo password manager e lo ha incollato nel campo di trasferimento. La transazione è andata a buon fine. Tuttavia, i fondi non sono mai arrivati alla destinazione prevista. Nel giro di pochi minuti, il saldo nel suo wallet di origine è sceso a zero. Un'indagine forense sulla workstation ha rivelato che l'indirizzo incollato non era quello copiato. Era una stringa quasi identica controllata da un aggressore. Il punto di ingresso per questa violazione è stata una chiavetta USB promozionale trovata in una borsa omaggio di una conferenza tre mesi prima.

I ricercatori Microsoft hanno recentemente identificato questa specifica minaccia come un nuovo worm auto-propagante. Lo chiamano Crypto Clipper. Questo malware si discosta dai pesanti e complessi pacchetti ransomware che dominano le cronache attuali. Si tratta di una backdoor leggera basata su script che privilegia la furtività e la monetizzazione immediata. La catena di attacco inizia quando un utente collega una chiavetta USB infetta a una macchina Windows. L'unità contiene file .lnk malevoli che si mascherano da documenti o cartelle legittimi. Quando un utente interagisce con questi file, il processo di infezione inizia senza un tradizionale prompt di installazione.

Il meccanismo di replica silenziosa e l'infezione iniziale

La propagazione di Crypto Clipper è un ritorno all'era dei primi worm internet. Si basa sul movimento fisico dell'hardware tra i sistemi. Quando il malware trova un nuovo host, esegue la scansione di tutti i dispositivi di archiviazione USB collegati. Crea una serie di file .lnk su queste unità. Questi file di collegamento memorizzano codice eseguibile che punta al payload del malware. Per aumentare le probabilità di un clic riuscito, il malware utilizza nomi che corrispondono ai file esistenti sull'unità. Si tratta di un cavallo di Troia digitale che sfrutta la fiducia intrinseca che gli utenti ripongono nel proprio hardware.

Dal punto di vista del rischio, questo worm è efficace perché bypassa completamente il perimetro della rete. La maggior parte dei moderni stack di sicurezza si concentra sul traffico web in entrata e sugli allegati e-mail. Uno script malevolo che arriva tramite un'interfaccia hardware locale spesso evita i livelli iniziali di ispezione. Una volta eseguito il file .lnk, viene lanciato un comando PowerShell. Questo comando verifica se la macchina è già infetta. Se il sistema è pulito, lo script contatta un server esterno per scaricare i componenti principali del clipper.

Perché i firewall tradizionali non rilevano il traffico instradato tramite Tor

La caratteristica più distintiva di Crypto Clipper è l'uso della rete Tor per il comando e controllo (C2). La maggior parte delle famiglie di malware utilizza indirizzi IP o nomi di dominio codificati che gli analisti di sicurezza possono facilmente bloccare. Questo malware adotta un approccio più resiliente. Distribuisce un client Tor portatile sull'host infetto. Instrada quindi tutte le comunicazioni in uscita attraverso un proxy SOCKS5 locale, tipicamente sulla porta 9050. Ciò crea un tunnel anonimo tra il dispositivo compromesso e l'aggressore.

Questa configurazione rappresenta una sfida diretta alle pratiche di logging standard. In un tipico ambiente aziendale, un firewall registra l'IP di destinazione di ogni pacchetto in uscita. Quando un dispositivo utilizza Tor, il firewall vede solo una connessione a un nodo di ingresso Tor. Questi nodi sono spesso server legittimi. La destinazione effettiva dei dati rubati rimane nascosta dietro molteplici livelli di crittografia e nodi ridondanti. Valutare la superficie di attacco in questo contesto è difficile perché il traffico malevolo si confonde con la comune attività web crittografata. Il malware utilizza il protocollo SOCKS5 per inoltrare i dati alla destinazione finale, assicurando che l'indirizzo del server dell'aggressore non appaia mai nei log della rete locale.

L'anatomia di un dirottamento della clipboard

La funzione primaria del malware è monitorare la clipboard (appunti) di Windows. Cerca pattern specifici che corrispondano a indirizzi di wallet di criptovalute. Bitcoin, Ethereum e altri asset principali utilizzano formati alfanumerici standardizzati. Crypto Clipper utilizza espressioni regolari per identificare queste stringhe in tempo reale. Quando un utente copia un indirizzo, il malware intercetta il contenuto della clipboard. Sostituisce l'indirizzo dell'utente con un indirizzo di proprietà dell'aggressore.

Si tratta di una forma semplice ma devastante di compromissione dell'integrità dei dati. La maggior parte degli utenti verifica un indirizzo controllando i primi e gli ultimi quattro caratteri. Varianti sofisticate di questo malware generano migliaia di indirizzi per trovarne uno che corrisponda il più possibile al bersaglio previsto dalla vittima. Oltre alla semplice sostituzione dell'indirizzo, il malware monitora anche le seed phrase. Queste sono le sequenze di 12 o 24 parole utilizzate per recuperare un wallet crypto. Se il malware rileva una seed phrase negli appunti, esfiltra immediatamente il testo. Ciò conferisce all'aggressore il controllo totale sull'intero portafoglio di asset digitali della vittima.

Conferma visiva tramite cattura furtiva dello schermo

Crypto Clipper non si ferma al furto basato su testo. Microsoft ha scoperto che il malware scatta cinque screenshot in un periodo di 10 secondi ogni volta che rileva dati sensibili negli appunti. Queste immagini forniscono all'aggressore il contesto necessario. Uno screenshot può rivelare lo specifico software wallet in uso, il saldo dell'account o ulteriori domande di sicurezza sullo schermo. Il malware utilizza comandi PowerShell nativi per catturare lo schermo, il che lo aiuta a evitare il rilevamento da parte dei software antivirus di base che cercano solo strumenti di cattura di terze parti.

La transizione da stealer a backdoor attiva

Sebbene l'obiettivo primario sia il furto finanziario, Microsoft classifica questa minaccia come una backdoor leggera. La presenza del proxy Tor e la capacità di eseguire codice remoto significano che l'aggressore può fare molto di più che scambiare indirizzi di wallet. Può inviare nuovi script alla macchina infetta in qualsiasi momento. Ciò consente al malware di evolversi in base all'ambiente in cui si trova. In un contesto aziendale, un aggressore potrebbe passare dal furto di crypto alla raccolta di credenziali interne o alla distribuzione di ransomware.

Questa capacità di assegnazione di compiti a runtime rende il malware una minaccia persistente. Anche se un utente pulisce i propri appunti o sposta i propri fondi, la backdoor rimane attiva. L'aggressore può attendere mesi prima di distribuire un payload più invasivo. Parlando proattivamente, l'esistenza di una connessione persistente e anonima a una workstation interna è lo scenario peggiore per qualsiasi team di sicurezza. Trasforma una singola chiavetta USB infetta in un buco permanente nello scafo della nave.

Indicatori tecnici di un sistema compromesso

Microsoft Defender for Endpoint dispone di firme specifiche per questa minaccia. Segnala processi JavaScript sospetti e tentativi di esfiltrazione di dati che utilizzano l'utility Curl. Tuttavia, la ricerca manuale (hunting) è spesso necessaria per i sistemi più vecchi o per quelli privi di strumenti EDR avanzati. L'indicatore più forte di un'infezione da Crypto Clipper è la presenza di un servizio proxy in ascolto su localhost:9050. Questa è la porta predefinita per il proxy SOCKS5 di Tor.

Gli amministratori dovrebbero anche cercare interpreti di script come PowerShell o CMD che generano processi figli insoliti. Il malware li usa frequentemente per eseguire le sue routine di cattura dello schermo e monitoraggio della clipboard. Qualsiasi prova di comandi di cattura dello schermo nella cronologia di PowerShell dovrebbe essere un segnale di allarme. Dal punto di vista forense, la comparsa di nuovi file .lnk su un'unità USB con nomi che imitano documenti esistenti è un segno definitivo della presenza del worm. Microsoft Defender Antivirus rileva il payload principale come Trojan:Win32/CryptoBandits.A.

Passaggi pratici per proteggere le interfacce hardware

Proteggere una rete contro un worm auto-propagante richiede una combinazione di controlli tecnici ed educazione degli utenti. A parte il patching, la difesa più efficace è una politica rigorosa riguardante i supporti rimovibili. Molte organizzazioni ora disabilitano le porte USB per impostazione predefinita o utilizzano software per autorizzare (whitelist) specifiche unità crittografate. Questo è l'equivalente digitale di un buttafuori di un club VIP a ogni porta interna. Se un dispositivo non è sulla lista, non entra.

Gli utenti devono inoltre adottare un approccio zero-trust verso i propri appunti. Non dare mai per scontato che la stringa incollata sia la stessa stringa copiata. Verificare sempre l'intero indirizzo del wallet, non solo i primi caratteri, prima di confermare una transazione. Per i trasferimenti di alto valore, la verifica fuori banda (out-of-band) è una necessità. Ciò comporta il controllo dell'indirizzo su un dispositivo separato che non sia collegato alla stessa rete. Questo semplice passaggio può prevenire la stragrande maggioranza dei furti basati su clipper.

Infine, le organizzazioni dovrebbero controllare i propri sistemi per la presenza di strumenti proxy non autorizzati. Tor ha usi legittimi, ma la sua presenza su una workstation standard da ufficio è quasi sempre segno di shadow IT o di una violazione della sicurezza. Il monitoraggio del traffico di rete verso i nodi di ingresso Tor noti può aiutare a identificare le macchine infette prima che l'aggressore possa esfiltrare quantità significative di dati. Questo monitoraggio proattivo fa la differenza tra un incidente minore e una perdita totale di asset digitali.

Fonti

• Microsoft Threat Intelligence Report (Giugno 2026)
• MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
• NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
• Microsoft Security Blog: Evolution of Script-Based Stealers

Disclaimer: Questo articolo è solo a scopo informativo ed educativo. Non sostituisce un audit di cybersicurezza professionale o un servizio di risposta agli incidenti. Consultare sempre un professionista della sicurezza certificato prima di apportare modifiche alla postura di sicurezza aziendale.