Attacco tramite USB ruba chiavi private di portafogli crypto: come funziona e come difendersi
Di Mag-Info Tech editorial · 2026-06-19
Un worm che si diffonde tramite USB colpisce i portafogli crypto su Windows
Da febbraio 2026 circola un malware che sfrutta le chiavette USB per infettare i computer Windows e prendere di mira i portafogli di criptovalute degli utenti. Identificato come Trojan:Win32/CryptoBandits, questo worm si propaga sostituendo i file legittimi su chiavette USB pulite con collegamenti dannosi (.lnk) che, una volta aperti, installano il codice malevolo sul sistema. Una volta attivo, il malware si insinua nel flusso di lavoro quotidiano dell’utente, monitorando costantemente gli appunti di sistema alla ricerca di seed phrase, chiavi private e indirizzi di destinazione per i trasferimenti di criptovalute. Quando rileva un’operazione di copia di un indirizzo di portafoglio, il worm sostituisce automaticamente il destinatario con un wallet controllato dagli attaccanti, deviando così i fondi verso le proprie casse senza che l’utente se ne accorga.
La tecnica di propagazione tramite USB rappresenta un vettore di attacco particolarmente insidioso perché sfrutta la fiducia che gli utenti ripongono nei dispositivi di archiviazione fisica. Spesso, chiavette USB apparentemente innocue possono contenere file apparentemente normali, come documenti o immagini, ma in realtà nascondono collegamenti dannosi che attivano l’infezione al primo clic. Una volta che il malware si è installato su un PC, può diffondersi ulteriormente su altre chiavette collegate, creando una catena di infezione che si propaga silenziosamente tra dispositivi e reti. Questo meccanismo di auto-propagazione rende CryptoBandits particolarmente pericoloso in ambienti condivisi, come uffici o laboratori, dove le chiavette USB circolano tra più utenti.
Come avviene l’infezione: dal collegamento dannoso al furto delle chiavi
L’infezione inizia quando un utente inserisce una chiavetta USB infetta in un computer Windows. Al posto di un file legittimo, come un documento Word o un’immagine, la chiavetta contiene un collegamento (.lnk) con lo stesso nome del file originale. Quando l’utente fa clic sul collegamento, il sistema esegue uno script nascosto che scarica ed installa il worm CryptoBandits. Il malware si configura quindi per avviarsi automaticamente all’accensione del computer, garantendosi una persistenza che gli permette di operare anche dopo il riavvio del sistema.
Una volta attivo, il worm si mette in ascolto degli eventi di copia-incolla sul sistema operativo. Quando rileva che l’utente sta copiando una seed phrase, una chiave privata o un indirizzo di portafoglio crypto, il malware interviene per modificare il contenuto degli appunti. In pratica, se l’utente copia un indirizzo di destinazione per un trasferimento di criptovalute, il worm sostituisce automaticamente quell’indirizzo con uno controllato dagli attaccanti. Questo meccanismo, noto come “crypto clipping”, permette ai cybercriminali di dirottare i trasferimenti senza che l’utente se ne accorga. Inoltre, CryptoBandits è in grado di esfiltrate i dati rubati, incluse le chiavi private e le seed phrase, tramite la rete Tor, rendendo difficile tracciare e bloccare le comunicazioni del malware.
Le tecniche di evasione e la connessione con la rete Tor
Per evitare di essere rilevato dai software di sicurezza, CryptoBandits utilizza diverse tecniche di evasione. Innanzitutto, il malware si nasconde all’interno di processi di sistema legittimi, rendendo difficile l’identificazione da parte degli antivirus. Inoltre, sfrutta la rete Tor per comunicare con i server di comando e controllo (C2), criptando il traffico e rendendo quasi impossibile per gli analisti di sicurezza tracciare le connessioni. Questo rende particolarmente complicato per le vittime e per i team di sicurezza identificare e bloccare la minaccia una volta che il malware si è insediato nel sistema.
Un altro aspetto preoccupante di questo worm è la sua capacità di adattarsi e evolversi. Gli attaccanti possono aggiornare il malware da remoto, aggiungendo nuove funzionalità o modificando le tecniche di attacco per eludere i controlli di sicurezza esistenti. Questo significa che, anche dopo un’infezione, il malware potrebbe continuare a evolversi nel tempo, rendendo ancora più difficile per gli utenti e per i professionisti della sicurezza contrastarlo efficacemente. La combinazione di queste tecniche rende CryptoBandits una minaccia sofisticata e persistente, capace di operare nell’ombra per lunghi periodi senza essere rilevata.
I rischi per gli utenti e le implicazioni per il mercato crypto
Per gli utenti di criptovalute, questo malware rappresenta una minaccia concreta e immediata. La perdita di chiavi private e seed phrase può portare al furto di fondi custoditi in portafogli digitali, con conseguenze finanziarie spesso irreversibili. A differenza dei tradizionali attacchi informatici che mirano a ottenere accesso a conti bancari o carte di credito, il furto di chiavi crypto non può essere annullato o contestato con una semplice chiamata alla banca. Una volta che i fondi sono stati trasferiti su un wallet controllato dagli attaccanti, recuperarli è quasi impossibile, soprattutto se le transazioni sono state effettuate su blockchain pubbliche come Bitcoin o Ethereum.
Le implicazioni per il mercato delle criptovalute sono altrettanto significative. Ogni episodio di furto di questo tipo contribuisce a minare la fiducia degli utenti nel sistema, soprattutto tra coloro che stanno valutando di entrare nel mercato crypto. La percezione di insicurezza può frenare l’adozione di massa delle criptovalute, ritardando la crescita dell’ecosistema e limitando le opportunità di innovazione. Inoltre, gli attacchi che prendono di mira i portafogli individuali possono avere un impatto negativo sulle piattaforme di exchange e sui servizi di custodia, che potrebbero vedersi costretti a implementare misure di sicurezza più rigorose e costose per proteggere i fondi dei propri clienti.
Risultati reali dall'AI di MEFAI. Ottieni $50 di sconto sul piano Pro.
Sponsorizzato · Le prestazioni passate non indicano risultati futuri. Non è consulenza finanziaria.
Le raccomandazioni di Microsoft e le best practice per la sicurezza
Microsoft ha pubblicato una serie di raccomandazioni per aiutare gli utenti a proteggersi da questo tipo di attacchi. La prima e più importante misura è disabilitare l’AutoRun e l’AutoPlay per i dispositivi rimovibili, come le chiavette USB. Questo impedisce al sistema di eseguire automaticamente i file presenti su una chiavetta appena inserita, riducendo il rischio che un collegamento dannoso venga attivato senza l’intervento dell’utente. Inoltre, gli utenti dovrebbero configurare le impostazioni di sicurezza di Windows per bloccare l’esecuzione dei file .lnk provenienti da dispositivi rimovibili, limitando così la superficie di attacco del malware.
Un’altra misura fondamentale è disabilitare l’host degli script di Windows, un componente che permette l’esecuzione di script come VBScript e JavaScript. Molti malware, incluso CryptoBandits, sfruttano questi script per eseguire codice dannoso senza richiedere privilegi elevati. Disabilitando l’host degli script, gli utenti possono ridurre significativamente il rischio di infezione. Infine, Microsoft consiglia di controllare regolarmente le reti e i dispositivi per identificare eventuali indicatori di compromissione (IoC) pubblicati, come indirizzi IP o domini noti per essere associati al malware.
Come verificare se si è stati colpiti e cosa fare in caso di infezione
Se si sospetta che il proprio computer sia stato infettato da CryptoBandits, ci sono alcuni segnali a cui prestare attenzione. Uno dei più evidenti è la presenza di transazioni crypto non autorizzate nel proprio portafoglio digitale. Se si nota che fondi sono stati trasferiti verso un indirizzo sconosciuto senza il proprio consenso, è molto probabile che il proprio sistema sia stato compromesso. Inoltre, se si riscontrano comportamenti anomali, come l’apertura automatica di finestre o l’esecuzione di processi sconosciuti, potrebbe essere un indizio di infezione.
In caso di sospetta infezione, la prima azione da intraprendere è scollegare immediatamente il computer dalla rete per evitare che il malware possa diffondersi ulteriormente o comunicare con i server di comando e controllo. Successivamente, è consigliabile eseguire una scansione completa del sistema con un antivirus aggiornato, preferibilmente in modalità provvisoria, per rilevare e rimuovere eventuali minacce. È importante anche revocare tutte le chiavi private e le seed phrase che potrebbero essere state compromesse, trasferendo i fondi rimanenti verso un nuovo portafoglio sicuro. Infine, è fondamentale formattare le chiavette USB che sono state utilizzate sul sistema infetto per eliminare eventuali tracce del malware.
Strumenti e soluzioni per proteggere i portafogli crypto
Oltre alle misure di sicurezza di base, esistono strumenti e soluzioni specifiche per proteggere i portafogli crypto da attacchi di questo tipo. Uno dei più efficaci è l’utilizzo di portafogli hardware, come Ledger o Trezor, che mantengono le chiavi private offline e isolate dal computer. Questi dispositivi riducono significativamente il rischio di furto di chiavi tramite malware, poiché le chiavi non vengono mai esposte al sistema operativo. Inoltre, molti portafogli hardware richiedono una conferma fisica per ogni transazione, rendendo quasi impossibile per un malware dirottare un trasferimento senza l’intervento dell’utente.
Un’altra soluzione è l’utilizzo di software di sicurezza specializzati, come antivirus e antimalware che includono moduli di protezione specifici per le criptovalute. Questi strumenti possono monitorare gli appunti di sistema e bloccare automaticamente le modifiche sospette, come la sostituzione di indirizzi di portafoglio. Inoltre, alcune piattaforme di exchange e servizi di custodia offrono funzionalità di sicurezza avanzate, come l’autenticazione a due fattori (2FA) e il whitelisting degli indirizzi di prelievo, che possono aiutare a prevenire trasferimenti non autorizzati. È fondamentale che gli utenti di criptovalute valutino attentamente le opzioni di sicurezza disponibili e scelgano soluzioni che si adattino alle proprie esigenze e al proprio livello di rischio.
Il futuro delle minacce ai portafogli crypto e cosa aspettarsi
Il caso di CryptoBandits rappresenta solo uno dei tanti esempi di come i cybercriminali stiano evolvendo le proprie tecniche per prendere di mira gli utenti di criptovalute. Con l’aumento dell’adozione delle criptovalute e la crescente popolarità dei portafogli digitali, è probabile che assisteremo a un incremento degli attacchi mirati a rubare fondi e dati sensibili. Gli attaccanti stanno diventando sempre più sofisticati, utilizzando tecniche di ingegneria sociale, malware avanzati e vettori di attacco multipli per massimizzare i propri guadagni.
Per gli utenti, la chiave per proteggersi risiede nella consapevolezza e nella prevenzione. Mantenere il proprio sistema operativo e i software di sicurezza aggiornati, evitare di inserire chiavette USB sconosciute e utilizzare soluzioni di sicurezza specifiche per le criptovalute sono passaggi fondamentali per ridurre il rischio di infezione. Inoltre, è importante rimanere informati sulle ultime minacce e sulle best practice di sicurezza, partecipando a comunità online e seguendo le raccomandazioni degli esperti. Solo attraverso un approccio proattivo e informato sarà possibile difendersi efficacemente dalle minacce in continua evoluzione del panorama crypto.
Più in Cybersecurity e Privacy
Taiko: allarme exploit su bridge e vault, utenti invitati a ritirarsi
Taiko ha subito un exploit critico nel meccanismo di verifica delle prove del bridge Ethereum, permettendo prelievi non autorizzati per 1,7 milioni di dollari. L’azienda invita tutti gli utenti a riti
Rete Secret Network violata con bug “infinite mint”: 4,7 milioni di dollari sottratti
Un bug nel bridge Axelar su Secret Network ha permesso a un attaccante di generare token non garantiti per 4,67 milioni di dollari, sfruttando un difetto di validazione dei depositi incrociati.
Botnet AryStinger: come router D-Link vecchi e NAS vulnerabili diventano armi per attacchi su larga scala
Il botnet AryStinger ha infettato oltre 4.000 router D-Link obsoleti e alcuni NAS, trasformandoli in nodi proxy per traffico malevolo e strumenti di ricognizione. Scopri come funziona, quali dispositi