Nuovo malware “Crypto Clipper” via USB: come funziona e cosa fare per proteggersi

Negli ultimi mesi, un nuovo malware denominato “Crypto Clipper” sta colpendo gli utenti Windows con una tecnica di distribuzione insolita: tramite chiavette USB. Non si tratta solo di un semplice strumento per rubare criptovalute, ma di una minaccia ibrida che combina furto di dati, esecuzione remota di codice e capacità di propagazione automatica. Secondo le analisi di Microsoft, questo malware è attivo almeno dal febbraio 2026 e rappresenta un’evoluzione pericolosa dei tradizionali clippers, poiché trasforma un semplice furto finanziario in un accesso persistente ai sistemi compromessi.

La particolarità di Crypto Clipper risiede nella sua capacità di operare senza bisogno di un installer tradizionale o di infrastrutture basate su IP esposte. Gli attaccanti hanno progettato il malware per diffondersi autonomamente attraverso le unità USB collegate ai computer già infetti, creando un effetto a catena che può estendersi a reti locali e dispositivi non direttamente connessi a internet. Questo approccio rende l’infezione particolarmente insidiosa, soprattutto in ambienti aziendali dove le chiavette USB sono ancora ampiamente utilizzate per trasferire file.

Come si diffonde Crypto Clipper: l’inganno delle unità USB

Il vettore di infezione principale di Crypto Clipper è la chiavetta USB. Una volta che una chiavetta infetta viene inserita in un computer Windows, il malware sfrutta una combinazione di tecniche per installarsi senza destare sospetti. In particolare, il malware nasconde i file legittimi presenti sulla chiavetta e li sostituisce con collegamenti (shortcut) che sembrano innocui ma che, in realtà, eseguono lo script dannoso al momento dell’apertura. Questo meccanismo inganna l’utente, che potrebbe cliccare sul collegamento senza accorgersi della sostituzione.

Oltre alla sostituzione dei file, Crypto Clipper utilizza un componente worm che si propaga automaticamente alle altre unità USB collegate al computer infetto. Questo significa che, non appena una nuova chiavetta viene inserita, il malware copia se stesso su di essa, pronta per infettare un altro dispositivo. La velocità di propagazione dipende dalla frequenza con cui le chiavette vengono utilizzate, ma in ambienti con molte connessioni USB, l’infezione può diffondersi rapidamente.

Un altro aspetto critico è la tecnica di persistenza utilizzata dal malware. Crypto Clipper crea due payload JavaScript obfuscati nella directory Documenti di Windows e imposta due attività pianificate (scheduled tasks) per garantire che i componenti worm e stealer vengano eseguiti automaticamente all’avvio del sistema. Questo assicura che il malware rimanga attivo anche dopo un riavvio, rendendo più difficile la sua rimozione completa.

Furto di criptovalute e sostituzione degli indirizzi

Il cuore dell’attività dannosa di Crypto Clipper è il furto di criptovalute. Il malware monitora costantemente gli appunti (clipboard) del sistema alla ricerca di informazioni finanziarie sensibili, come le frasi di recupero BIP39, le chiavi private di Bitcoin ed Ethereum, e gli indirizzi dei portafogli. Quando l’utente copia uno di questi dati, il malware interviene per sostituire l’indirizzo originale con uno controllato dagli attaccanti, in modo che eventuali transazioni vengano dirottate verso i loro portafogli.

Questa tecnica, nota come “crypto clipping”, non è nuova, ma Crypto Clipper la combina con altre funzionalità avanzate. Ad esempio, il malware scatta screenshot dello schermo per catturare informazioni aggiuntive che potrebbero essere sfuggite al monitoraggio del clipboard. Inoltre, la sostituzione degli indirizzi non si limita alle criptovalute: il malware può essere configurato per colpire anche altri asset digitali, come token non fungibili (NFT) o credenziali di accesso a piattaforme finanziarie.

La velocità con cui avviene la sostituzione è un altro elemento distintivo. Crypto Clipper utilizza un meccanismo di “high-frequency clipboard theft”, cioè analizza e modifica il contenuto del clipboard con una frequenza molto elevata, aumentando le probabilità di successo prima che l’utente si accorga del cambio di indirizzo.

Dalla minaccia finanziaria a un vero e proprio backdoor

Quello che rende Crypto Clipper particolarmente pericoloso è la sua capacità di trasformarsi da semplice strumento di furto in un backdoor completo. Secondo Microsoft, il malware non si limita a rubare criptovalute, ma può anche ricevere ed eseguire codice arbitrario dagli attaccanti. Questo significa che, una volta infettato un sistema, gli attaccanti possono prendere il controllo del dispositivo, installare ulteriori malware, o addirittura preparare il terreno per attacchi ransomware.

Il meccanismo di esecuzione remota di codice è reso possibile grazie alla combinazione di diversi componenti. Oltre ai due payload JavaScript nascosti nella directory Documenti, Crypto Clipper installa una copia di Tor sul computer della vittima, rinominandola in “ugate.exe” per mascherarla come un file di sistema innocuo. Tor viene utilizzato per stabilire una connessione crittografata con i server di comando e controllo (C2) degli attaccanti, che si trovano su indirizzi “onion” nascosti nella rete Tor. Questo rende estremamente difficile per le autorità o i ricercatori di sicurezza tracciare e bloccare le comunicazioni del malware.

L’installazione di Tor è un dettaglio strategico: non solo nasconde le comunicazioni del malware, ma consente anche agli attaccanti di operare da qualsiasi parte del mondo senza essere rintracciati. Inoltre, la crittografia end-to-end delle comunicazioni garantisce che anche se il traffico viene intercettato, non sarà possibile decifrarlo senza la chiave corretta.

Obiettivi e tecniche di attacco: perché colpisce le vittime giuste

Crypto Clipper non è un malware generico: è progettato per colpire specificamente utenti che gestiscono criptovalute o asset digitali di valore. Gli attaccanti si concentrano su “high-value financial artifacts”, come le frasi di recupero BIP39, che rappresentano la chiave di accesso a un portafoglio crittografico, e le chiavi private di Bitcoin ed Ethereum. Questi dati, se rubati, permettono agli attaccanti di svuotare i portafogli delle vittime senza bisogno di accedere direttamente al dispositivo.

Oltre al furto diretto, il malware è in grado di sostituire gli indirizzi dei portafogli copiati dagli utenti. Ad esempio, se un utente copia un indirizzo Ethereum per effettuare un trasferimento, Crypto Clipper può sostituirlo con un indirizzo controllato dagli attaccanti, reindirizzando la transazione verso il loro portafoglio. Questo meccanismo è particolarmente insidioso perché avviene in tempo reale, senza che l’utente si accorga di nulla fino a quando la transazione non viene confermata sulla blockchain.

Un altro aspetto interessante è la capacità del malware di adattarsi a diversi scenari di attacco. Gli attaccanti possono configurare Crypto Clipper per colpire specifiche piattaforme o wallet, ad esempio concentrandosi su utenti di MetaMask, Trust Wallet o altri portafogli software popolari. Inoltre, il malware può essere aggiornato a distanza per includere nuove funzionalità, come il supporto per altre criptovalute o tecniche di evasione dei rilevamenti.

Difendersi da Crypto Clipper: best practice per utenti e aziende

Data la natura sofisticata di Crypto Clipper, la prevenzione e la risposta rapida sono fondamentali per limitare i danni. Ecco alcune misure concrete che utenti e aziende possono adottare per proteggersi:

Per gli utenti privati, la prima regola è evitare di utilizzare chiavette USB di origine sconosciuta. Anche se sembra un consiglio banale, molte infezioni iniziano proprio da dispositivi USB trovati per caso o ricevuti da fonti non affidabili. Se è necessario utilizzare una chiavetta USB, è consigliabile scansionarla con un antivirus aggiornato prima di aprirla. Inoltre, è fondamentale controllare periodicamente i file presenti sulle unità USB per accertarsi che non siano stati sostituiti con collegamenti dannosi.

Un’altra misura importante è disabilitare l’esecuzione automatica dei file dalle unità USB. Su Windows, questo può essere fatto tramite l’Editor criteri di gruppo o modificando le impostazioni di esecuzione automatica nel Pannello di controllo. In questo modo, anche se un collegamento dannoso viene aperto, il sistema non eseguirà automaticamente lo script associato. Inoltre, è consigliabile utilizzare un portafoglio hardware per le criptovalute, poiché questi dispositivi non espongono le chiavi private all’ambiente del computer, rendendole meno vulnerabili al furto tramite malware.

Per le aziende, la prevenzione di infezioni come Crypto Clipper richiede un approccio più strutturato. Innanzitutto, è essenziale implementare politiche di sicurezza che limitino l’uso delle chiavette USB nei luoghi di lavoro, o almeno che ne regolino l’utilizzo tramite soluzioni di gestione dei dispositivi. Inoltre, le aziende dovrebbero adottare soluzioni di sicurezza endpoint avanzate, in grado di rilevare comportamenti sospetti come la sostituzione degli indirizzi degli clipboard o l’esecuzione di script non autorizzati.

Un altro aspetto critico è la formazione degli utenti. Molte infezioni iniziano con un errore umano, come l’apertura di un collegamento dannoso o l’inserimento di una chiavetta USB infetta. Programmi di awareness sulla sicurezza informatica possono aiutare a sensibilizzare i dipendenti sui rischi delle minacce come Crypto Clipper e sulle best practice da seguire. Infine, le aziende dovrebbero monitorare costantemente le attività di rete e i log di sistema per rilevare tempestivamente eventuali segni di compromissione.

Rilevamento e risposta: come individuare e rimuovere Crypto Clipper

Se un sistema è già stato compromesso da Crypto Clipper, la rimozione tempestiva è essenziale per limitare i danni. Il malware lascia tracce che possono essere rilevate con strumenti di sicurezza adeguati. Ad esempio, la presenza di file JavaScript obfuscati nella directory Documenti o di attività pianificate sospette può essere un segnale di infezione. Inoltre, la presenza di un processo chiamato “ugate.exe” nella lista dei task di sistema è un’indicazione chiara che Tor è stato installato senza autorizzazione.

Per rimuovere Crypto Clipper, è consigliabile utilizzare uno strumento antimalware aggiornato, come Windows Defender, Malwarebytes o altri software di sicurezza affidabili. Prima di eseguire la scansione, è opportuno disconnettere il computer dalla rete per evitare che il malware comunichi con i server C2 degli attaccanti. Inoltre, è importante controllare le unità USB collegate al sistema e scansionarle per verificare che non siano state infettate.

Dopo la rimozione, è fondamentale cambiare tutte le credenziali di accesso che potrebbero essere state compromesse, incluse le password dei portafogli crittografici e le frasi di recupero. Se le chiavi private sono state esposte, l’unica soluzione è trasferire i fondi su un nuovo portafoglio con chiavi non compromesse. Infine, è consigliabile eseguire una scansione completa del sistema per assicurarsi che non siano rimasti residui del malware.

Il futuro delle minacce ibride: cosa aspettarsi da Crypto Clipper e simili

Crypto Clipper rappresenta un’evoluzione significativa delle minacce informatiche, poiché combina tecniche di furto finanziario con capacità di backdoor e propagazione automatica. Questo approccio ibrido è destinato a diventare sempre più comune, poiché gli attaccanti cercano di massimizzare il valore delle infezioni. In futuro, potremmo vedere malware simili che si diffondono tramite altre periferiche, come dischi esterni o dispositivi Bluetooth, o che integrano tecniche di intelligenza artificiale per eludere i rilevamenti.

Un altro trend preoccupante è l’aumento delle minacce che colpiscono specificamente gli sviluppatori di criptovalute e le piattaforme DeFi. Gli attaccanti stanno diventando sempre più sofisticati, utilizzando tecniche di supply chain attack per compromettere tool di sviluppo o librerie software. Questo significa che anche gli utenti più attenti potrebbero essere colpiti da malware distribuiti tramite canali apparentemente legittimi.

Per contrastare queste minacce, sarà necessario un approccio olistico alla sicurezza informatica, che combini tecnologie avanzate, formazione degli utenti e collaborazione tra aziende e ricercatori. Le soluzioni di sicurezza devono evolversi per rilevare non solo i malware noti, ma anche i comportamenti sospetti che potrebbero indicare un’infezione in corso. Inoltre, gli utenti devono essere consapevoli dei rischi e adottare best practice come l’utilizzo di portafogli hardware, la verifica delle chiavette USB e la disabilitazione dell’esecuzione automatica.

Conclusioni: agire ora per evitare danni futuri

Crypto Clipper è una minaccia concreta e in rapida evoluzione che sfrutta vettori di infezione poco convenzionali, come le chiavette USB, per diffondersi e colpire gli utenti di criptovalute. La sua capacità di combinare furto finanziario, esecuzione remota di codice e propagazione automatica lo rende particolarmente pericoloso, sia per gli utenti privati che per le aziende. La chiave per proteggersi è adottare un approccio proattivo, che includa misure di prevenzione, rilevamento tempestivo e risposta rapida.

Gli utenti devono essere consapevoli dei rischi e adottare best practice come la scansione delle chiavette USB, l’utilizzo di portafogli hardware e la disabilitazione dell’esecuzione automatica. Le aziende, invece, devono implementare politiche di sicurezza rigorose, formare i dipendenti e adottare soluzioni di sicurezza endpoint avanzate. Solo con un impegno costante e una cultura della sicurezza diffusa sarà possibile contrastare minacce come Crypto Clipper e proteggere i propri asset digitali.