{"id":3408,"date":"2026-06-20T10:05:54","date_gmt":"2026-06-20T10:05:54","guid":{"rendered":"https:\/\/news.bitcoinlive24.com\/microsoft-malware-windows-bitcoin-usb-clipboard\/"},"modified":"2026-06-20T10:05:54","modified_gmt":"2026-06-20T10:05:54","slug":"microsoft-malware-windows-bitcoin-usb-clipboard","status":"publish","type":"post","link":"https:\/\/bitcoinlive24.com\/news\/microsoft-malware-windows-bitcoin-usb-clipboard\/","title":{"rendered":"Microsoft Avverte: Malware Windows Ruba Bitcoin via Chiavette USB"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Microsoft ha pubblicato il 19 giugno 2026 un avviso di sicurezza su una campagna malware mirata ai portafogli crypto: un <strong>clipper virus per Windows<\/strong> capace di diffondersi tramite chiavette USB, intercettare gli indirizzi degli wallet nel clipboard e sostituirli silenziosamente con quelli dell&#8217;attaccante. Il rapporto, firmato dal team Microsoft Threat Intelligence, identifica il malware come una variante avanzata di <strong>clipboard hijacker<\/strong> che installa un worm persistente nei file di collegamento del sistema operativo.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-transparent ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/bitcoinlive24.com\/news\/microsoft-malware-windows-bitcoin-usb-clipboard\/#Come_funziona_il_clipper_malware_che_ruba_Bitcoin\" >Come funziona il clipper malware che ruba Bitcoin<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/bitcoinlive24.com\/news\/microsoft-malware-windows-bitcoin-usb-clipboard\/#Quali_portafogli_sono_nel_mirino\" >Quali portafogli sono nel mirino<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/bitcoinlive24.com\/news\/microsoft-malware-windows-bitcoin-usb-clipboard\/#Perche_il_clipboard_hijacking_e_una_minaccia_sottovalutata\" >Perch\u00e9 il clipboard hijacking \u00e8 una minaccia sottovalutata<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/bitcoinlive24.com\/news\/microsoft-malware-windows-bitcoin-usb-clipboard\/#Come_proteggersi_le_contromisure_consigliate_da_BitcoinLive24\" >Come proteggersi: le contromisure consigliate da BitcoinLive24<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/bitcoinlive24.com\/news\/microsoft-malware-windows-bitcoin-usb-clipboard\/#Il_contesto_i_clipper_malware_e_Bitcoin_nel_2026\" >Il contesto: i clipper malware e Bitcoin nel 2026<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/bitcoinlive24.com\/news\/microsoft-malware-windows-bitcoin-usb-clipboard\/#Conclusione\" >Conclusione<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/bitcoinlive24.com\/news\/microsoft-malware-windows-bitcoin-usb-clipboard\/#Domande_frequenti_FAQ\" >Domande frequenti (FAQ)<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_funziona_il_clipper_malware_che_ruba_Bitcoin\"><\/span>Come funziona il clipper malware che ruba Bitcoin<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Il meccanismo d&#8217;attacco si sviluppa in tre fasi. Nella prima, il malware si propaga attraverso file <code>.lnk<\/code> (shortcut) modificati su supporti rimovibili come chiavette USB: quando la vittima apre la periferica su un PC Windows, il worm si installa automaticamente. Nella seconda fase, il codice malevolo monitora in tempo reale il contenuto del clipboard di Windows: non appena rileva una stringa che assomiglia a un indirizzo di portafoglio crypto (Bitcoin, Ethereum o altri), la sostituisce con l&#8217;indirizzo controllato dall&#8217;attaccante. Nella terza, le transazioni outbound vengono instradata attraverso la rete Tor (The Onion Router, sistema di anonimizzazione del traffico internet) per mascherare la destinazione reale dei fondi.<\/p>\n\n<p class=\"wp-block-paragraph\">Il risultato pratico \u00e8 devastante: l&#8217;utente copia un indirizzo Bitcoin per effettuare un bonifico, ma nel momento in cui incolla e conferma la transazione, i fondi vengono inviati al criminale. La natura irreversibile delle transazioni Bitcoin rende il recupero dei fondi praticamente impossibile.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Quali_portafogli_sono_nel_mirino\"><\/span>Quali portafogli sono nel mirino<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Secondo Microsoft, il malware non discrimina per tipo di wallet: sono stati identificati moduli di targeting per <strong>oltre 20 tipologie di portafoglio crypto<\/strong>, tra cui Bitcoin Core, Electrum, Exodus, MetaMask, Ledger Live e Trust Wallet. La campagna si distingue per la sua architettura modulare: ogni modulo \u00e8 aggiornabile da remoto, consentendo agli operatori di aggiungere nuovi target senza ridistribuire l&#8217;intero payload.<\/p>\n\n<figure class=\"wp-block-table\"><div style=\"overflow-x:auto\"><table>\n  <thead>\n    <tr>\n      <th>Caratteristica<\/th>\n      <th>Dettaglio<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td>Vettore di diffusione<\/td>\n      <td>Chiavette USB (file .lnk modificati)<\/td>\n    <\/tr>\n    <tr>\n      <td>Meccanismo principale<\/td>\n      <td>Clipboard hijacking su indirizzi wallet<\/td>\n    <\/tr>\n    <tr>\n      <td>Anonimizzazione<\/td>\n      <td>Rete Tor per mascherare il traffico<\/td>\n    <\/tr>\n    <tr>\n      <td>Wallet target<\/td>\n      <td>20+ tipologie (BTC, ETH, e altri)<\/td>\n    <\/tr>\n    <tr>\n      <td>Persistenza<\/td>\n      <td>Worm installato nei file shortcut di sistema<\/td>\n    <\/tr>\n    <tr>\n      <td>Aggiornabilit\u00e0<\/td>\n      <td>Moduli remoti aggiornabili dagli attaccanti<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table><\/div><\/figure>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Perche_il_clipboard_hijacking_e_una_minaccia_sottovalutata\"><\/span>Perch\u00e9 il clipboard hijacking \u00e8 una minaccia sottovalutata<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Il clipboard hijacking \u00e8 una tecnica documentata dal 2017, ma la sua efficacia nel 2026 non \u00e8 diminuita. Il motivo \u00e8 strutturale: gli indirizzi Bitcoin sono stringhe di 26-34 caratteri alfanumerici che quasi nessun utente verifica manualmente prima di confermare la transazione. Secondo l&#8217;analisi <a href=\"https:\/\/www.chainalysis.com\/blog\/\" rel=\"nofollow noopener\" target=\"_blank\">Chainalysis<\/a> sul crimine crypto, questa tipologia di attacco risulta difficile da tracciare proprio perch\u00e9 sfrutta comportamenti normali dell&#8217;utente \u2014 il copia-incolla \u2014 invece di vulnerabilit\u00e0 tecniche.<\/p>\n\n<p class=\"wp-block-paragraph\">La verifica visiva \u00e8 resa ancora pi\u00f9 difficile dal fatto che molti wallet mostrano solo le prime e le ultime 4-6 cifre dell&#8217;indirizzo. I criminali spesso generano indirizzi con prefisso o suffisso simile a quello del wallet target, <strong>riducendo ulteriormente le probabilit\u00e0 di rilevamento<\/strong> da parte della vittima.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_proteggersi_le_contromisure_consigliate_da_BitcoinLive24\"><\/span>Come proteggersi: le contromisure consigliate da BitcoinLive24<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Microsoft ha gi\u00e0 aggiornato Windows Defender per rilevare le varianti note di questa campagna, ma la redazione di BitcoinLive24 sottolinea alcune pratiche fondamentali:<\/p>\n\n<ul class=\"wp-block-list\">\n  <li><strong>Verificare sempre l&#8217;intero indirizzo<\/strong> prima di confermare una transazione, non solo le prime e ultime cifre.<\/li>\n  <li><strong>Non usare PC condivisi o sconosciuti<\/strong> per operazioni con wallet crypto.<\/li>\n  <li><strong>Evitare chiavette USB di origine incerta<\/strong>, specialmente in ambienti aziendali o pubblici.<\/li>\n  <li><strong>Usare wallet hardware<\/strong> (Ledger, Trezor): questi dispositivi mostrano l&#8217;indirizzo di destinazione sul proprio display, rendendo inutile il clipboard hijacking.<\/li>\n  <li><strong>Aggiornare Windows Defender<\/strong> e il sistema operativo all&#8217;ultima versione disponibile.<\/li>\n  <li><strong>Abilitare la whitelist degli indirizzi<\/strong> se il wallet in uso lo supporta.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_contesto_i_clipper_malware_e_Bitcoin_nel_2026\"><\/span>Il contesto: i clipper malware e Bitcoin nel 2026<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">I clipper malware crypto hanno causato perdite per centinaia di milioni di dollari negli ultimi 12 mesi, secondo i ricercatori di sicurezza che monitorano questa tipologia di attacchi. Il <a href=\"https:\/\/bitcoinlive24.com\/news\/categoria\/novita\/\" rel=\"internal\">monitoraggio delle minacce Bitcoin curato da BitcoinLive24<\/a> evidenzia che i furti tramite clipboard hijacking sono in costante crescita dal 2023, con il vettore USB che \u00e8 diventato particolarmente insidioso in contesti aziendali dove le chiavette vengono condivise tra colleghi.<\/p>\n\n<p class=\"wp-block-paragraph\">Microsoft precisa che la campagna individuata il 19 giugno 2026 \u00e8 attiva da almeno tre mesi e ha colpito utenti in pi\u00f9 di 15 paesi, con concentrazione in Europa orientale, Asia meridionale e America Latina. La rete Tor utilizzata per il traffico rende difficile attribuire l&#8217;attacco a un singolo gruppo criminale.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Conclusione\"><\/span>Conclusione<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">La scoperta di Microsoft ricorda che la sicurezza Bitcoin non riguarda solo la custodia delle chiavi private, ma l&#8217;intera catena operativa: dal PC che si usa alle periferiche che si collegano. Un semplice clipboard hijacker, installato da una chiavetta USB presa da un collega, pu\u00f2 vanificare anni di buone pratiche di self-custody. L&#8217;unica difesa affidabile contro questa tipologia di attacco rimane la <strong>verifica manuale dell&#8217;intero indirizzo<\/strong> prima di ogni transazione.<\/p>\n\n<p class=\"wp-block-paragraph\">Per ricevere avvisi in tempo reale su minacce alla sicurezza Bitcoin, <a href=\"https:\/\/bitcoinlive24.com\" rel=\"nofollow\">Scarica l&#8217;app BitcoinLive24<\/a>.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Domande_frequenti_FAQ\"><\/span>Domande frequenti (FAQ)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<h3 class=\"wp-block-heading\">Che cos&#8217;\u00e8 un clipper malware per Bitcoin?<\/h3>\n<p class=\"wp-block-paragraph\">Un clipper malware \u00e8 un software malevolo che monitora il clipboard (appunti) di Windows e sostituisce automaticamente gli indirizzi crypto copiati con quelli controllati dall&#8217;attaccante, dirottando cos\u00ec le transazioni verso il criminale.<\/p>\n\n<h3 class=\"wp-block-heading\">Come si diffonde questo malware secondo Microsoft?<\/h3>\n<p class=\"wp-block-paragraph\">Secondo il rapporto Microsoft del 19 giugno 2026, il malware si diffonde tramite file di collegamento (.lnk) modificati su chiavette USB. L&#8217;infezione avviene automaticamente quando la vittima apre la periferica su un sistema Windows vulnerabile.<\/p>\n\n<h3 class=\"wp-block-heading\">I fondi Bitcoin rubati tramite clipper possono essere recuperati?<\/h3>\n<p class=\"wp-block-paragraph\">No. Le transazioni Bitcoin sono irreversibili per design: una volta confermata la transazione verso l&#8217;indirizzo sbagliato, i fondi sono definitivamente persi. Non esiste autorit\u00e0 centrale che possa annullare il trasferimento.<\/p>\n\n<h3 class=\"wp-block-heading\">Un wallet hardware protegge dal clipboard hijacking?<\/h3>\n<p class=\"wp-block-paragraph\">S\u00ec. I wallet hardware (Ledger, Trezor e simili) mostrano l&#8217;indirizzo di destinazione direttamente sul proprio display interno, consentendo all&#8217;utente di verificarlo prima di firmare la transazione, rendendo inutile il clipboard hijacking.<\/p>\n\n<h3 class=\"wp-block-heading\">Windows Defender rileva questo malware?<\/h3>\n<p class=\"wp-block-paragraph\">Microsoft ha aggiornato Windows Defender per rilevare le varianti note identificate nel rapporto del 19 giugno 2026. \u00c8 fondamentale mantenere il sistema operativo e l&#8217;antivirus aggiornati all&#8217;ultima versione disponibile.<\/p>\n\n<p class=\"wp-block-paragraph\"><em>Nota: questo articolo \u00e8 a scopo informativo e non costituisce consulenza finanziaria. Fonte: <a href=\"https:\/\/bitcoinist.com\/microsoft-warns-crypto-users-about-a-windows-clipper-malware-campaign\/\" rel=\"nofollow noopener\" target=\"_blank\">Bitcoinist<\/a>.<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Microsoft ha pubblicato il 19 giugno 2026 un avviso di sicurezza su una campagna malware mirata ai portafogli crypto: un clipper virus per Windows capace&#8230;<\/p>\n","protected":false},"author":2,"featured_media":2850,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[608],"tags":[],"class_list":["post-3408","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-novita"],"_links":{"self":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3408","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/comments?post=3408"}],"version-history":[{"count":0,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3408\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media\/2850"}],"wp:attachment":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media?parent=3408"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/categories?post=3408"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/tags?post=3408"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}