{"id":3505,"date":"2026-06-22T21:08:37","date_gmt":"2026-06-22T21:08:37","guid":{"rendered":"https:\/\/news.bitcoinlive24.com\/cryptobandits-worm-usb-bitcoin-windows\/"},"modified":"2026-06-22T21:08:37","modified_gmt":"2026-06-22T21:08:37","slug":"cryptobandits-worm-usb-bitcoin-windows","status":"publish","type":"post","link":"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows\/","title":{"rendered":"CryptoBandits: il Worm USB che Svuota i Wallet Bitcoin su Windows"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Un worm Windows chiamato <strong>CryptoBandits<\/strong> (Trojan:Win32\/CryptoBandits.A) sostituisce in silenzio gli indirizzi Bitcoin nel clipboard, reindirizzando i pagamenti verso i portafogli degli attaccanti. Microsoft Threat Intelligence ha divulgato pubblicamente la campagna il <strong>17 giugno 2026<\/strong>, rivelando che \u00e8 attiva almeno da febbraio 2026. Il rischio riguarda tutti gli utenti Windows che gestiscono Bitcoin in self-custody, compreso chi usa hardware wallet.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-transparent ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows\/#Come_Funziona_il_Worm_CryptoBandits\" >Come Funziona il Worm CryptoBandits<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows\/#Perche_gli_Hardware_Wallet_Non_Proteggono\" >Perch\u00e9 gli Hardware Wallet Non Proteggono<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows\/#Quattro_Mesi_di_Attivita_Inosservata\" >Quattro Mesi di Attivit\u00e0 Inosservata<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows\/#Sicurezza_Bitcoin_un_Tema_Sempre_piu_Centrale\" >Sicurezza Bitcoin: un Tema Sempre pi\u00f9 Centrale<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows\/#Come_Proteggersi_da_CryptoBandits\" >Come Proteggersi da CryptoBandits<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows\/#FAQ_%E2%80%94_Domande_Frequenti_su_CryptoBandits\" >FAQ \u2014 Domande Frequenti su CryptoBandits<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_Funziona_il_Worm_CryptoBandits\"><\/span>Come Funziona il Worm CryptoBandits<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"wp-block-paragraph\">CryptoBandits si diffonde tramite file di scorciatoia Windows (.lnk) nascosti su chiavette USB infette. Quando un utente clicca su un file .lnk malevolo, il malware si installa sulla macchina. Da quel momento, interroga il clipboard ogni <strong>500 millisecondi<\/strong>: appena rileva un indirizzo Bitcoin, sostituisce silenziosamente l&#8217;indirizzo originale con quello dell&#8217;attaccante prima che l&#8217;utente incolli la destinazione nel software di pagamento.<\/p>\n\n<p class=\"wp-block-paragraph\">Il malware riconosce <strong>tutti e quattro i formati di indirizzo Bitcoin<\/strong>: legacy (1&#8230;), P2SH (3&#8230;), native SegWit (bc1q&#8230;) e Taproot (bc1p&#8230;). Prende di mira anche indirizzi Tron e Monero. Quando intercetta frasi seed BIP39, chiavi private o screenshot sensibili, li invia a un server C2 sulla rete Tor tramite un client Tor locale configurato come proxy SOCKS5 (localhost:9050).<\/p>\n\n<p class=\"wp-block-paragraph\">Il server di controllo supporta un comando EVAL, che permette agli operatori di eseguire codice arbitrario da remoto sulle macchine gi\u00e0 infette. Per rallentare l&#8217;analisi forense, il malware termina automaticamente se rileva Task Manager in esecuzione. L&#8217;installer \u00e8 offuscato con Python, PyArmor e PyInstaller; i payload secondari vengono scaricati in <code>C:\\Users\\Public\\Documents<\/code>.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Perche_gli_Hardware_Wallet_Non_Proteggono\"><\/span>Perch\u00e9 gli Hardware Wallet Non Proteggono<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"wp-block-paragraph\">Possedere un hardware wallet <strong>non protegge da CryptoBandits<\/strong>. Il dispositivo firma la transazione che gli viene presentata, non quella che l&#8217;utente intendeva creare. Se il malware ha gi\u00e0 sostituito l&#8217;indirizzo nel clipboard prima che l&#8217;utente lo incolli nel software, il dispositivo hardware autorizzer\u00e0 un pagamento verso il portafoglio dell&#8217;attaccante.<\/p>\n\n<p class=\"wp-block-paragraph\">L&#8217;unica difesa efficace \u00e8 verificare l&#8217;indirizzo di destinazione <strong>carattere per carattere sullo schermo del dispositivo hardware<\/strong>, prima di confermare ogni transazione. Affidarsi all&#8217;indirizzo visualizzato sul monitor Windows \u00e8 insufficiente se il sistema \u00e8 compromesso.<\/p>\n\n<p class=\"wp-block-paragraph\">Il rischio si estende ai workflow air-gapped: CryptoBandits si propaga automaticamente alle chiavette USB pulite inserite in una macchina infetta, potenzialmente trasportando il worm nel dispositivo di firma della catena operativa. Solo una macchina dedicata alla firma che non abbia mai contattato un host Windows elimina questa superficie d&#8217;attacco.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Quattro_Mesi_di_Attivita_Inosservata\"><\/span>Quattro Mesi di Attivit\u00e0 Inosservata<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"wp-block-paragraph\">Secondo Microsoft Defender Experts, CryptoBandits \u00e8 operativo <strong>da almeno febbraio 2026<\/strong>, quattro mesi prima della divulgazione pubblica del 17 giugno. Nel comunicato ufficiale, i ricercatori descrivono la campagna come &#8220;una combinazione di furto di clipboard, sostituzione di indirizzi wallet, funzionalit\u00e0 simile a un worm e comunicazioni basate su Tor, che consentono sia il guadagno finanziario sia l&#8217;accesso continuato ai dispositivi&#8221;.<\/p>\n\n<p class=\"wp-block-paragraph\">Microsoft non ha attribuito la campagna a un attore specifico e non ha divulgato il numero di vittime n\u00e9 l&#8217;ammontare totale sottratto. Non \u00e8 stato nemmeno confermato che la campagna sia cessata. Gli indicatori di compromissione (hash SHA-256), le mappature MITRE ATT&amp;CK e le query KQL per la threat hunting sono disponibili nel <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/06\/17\/cryptobandits-worm-bitcoin-clipboard-hijacking\/\" target=\"_blank\">Microsoft Security Blog del 17 giugno 2026<\/a>.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Sicurezza_Bitcoin_un_Tema_Sempre_piu_Centrale\"><\/span>Sicurezza Bitcoin: un Tema Sempre pi\u00f9 Centrale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"wp-block-paragraph\">La divulgazione di CryptoBandits rientra in un trend pi\u00f9 ampio di attenzione crescente sulla sicurezza della custodia Bitcoin. Come abbiamo riportato su BitcoinLive24, gli sviluppatori di <a href=\"https:\/\/bitcoinlive24.com\/news\/bitcoin-core-rbf-replace-by-fee-sviluppatori-2026\/\">Bitcoin Core stanno lavorando a miglioramenti del protocollo<\/a> che riguardano la gestione delle transazioni, mentre a livello legale continuano le controversie sui <a href=\"https:\/\/bitcoinlive24.com\/news\/causa-bitcoin-wallet-dormienti-new-york\/\">wallet Bitcoin dormienti<\/a>.<\/p>\n\n<p class=\"wp-block-paragraph\">Il vettore di CryptoBandits opera per\u00f2 al di fuori dello strato Bitcoin \u2014 nell&#8217;infrastruttura del sistema operativo. Il protocollo Bitcoin ha funzionato esattamente come progettato: il furto avviene nella finestra di 500 millisecondi tra copia e incolla, a livello di sistema operativo.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_Proteggersi_da_CryptoBandits\"><\/span>Come Proteggersi da CryptoBandits<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<figure class=\"wp-block-table\"><div style=\"overflow-x:auto\"><table>\n<thead><tr><th>Misura di sicurezza<\/th><th>Efficacia<\/th><\/tr><\/thead>\n<tbody>\n<tr><td>Verificare indirizzo carattere per carattere sull&#8217;hardware wallet<\/td><td>Alta \u2014 difesa principale<\/td><\/tr>\n<tr><td>Aggiornare Microsoft Defender (rileva Trojan:Win32\/CryptoBandits.A)<\/td><td>Alta \u2014 rilevamento confermato<\/td><\/tr>\n<tr><td>Non inserire USB di origine sconosciuta su macchine Windows BTC<\/td><td>Alta \u2014 blocca il vettore primario<\/td><\/tr>\n<tr><td>Monitorare connessioni a localhost:9050<\/td><td>Media \u2014 segnale comportamentale<\/td><\/tr>\n<tr><td>Usare macchina dedicata non-Windows per firma transazioni<\/td><td>Molto alta \u2014 elimina la superficie<\/td><\/tr>\n<\/tbody>\n<\/table><\/div><\/figure>\n\n<p class=\"wp-block-paragraph\">Scarica l&#8217;app <a href=\"https:\/\/bitcoinlive24.com\">BitcoinLive24<\/a> per ricevere aggiornamenti istantanei su minacce alla sicurezza Bitcoin e notizie dal mercato globale.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"FAQ_%E2%80%94_Domande_Frequenti_su_CryptoBandits\"><\/span>FAQ \u2014 Domande Frequenti su CryptoBandits<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n<h3 class=\"wp-block-heading\" itemprop=\"name\">Cos&#8217;\u00e8 CryptoBandits e come ruba i Bitcoin?<\/h3>\n<div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n<p class=\"wp-block-paragraph\" itemprop=\"text\">CryptoBandits (Trojan:Win32\/CryptoBandits.A) \u00e8 un worm Windows che sostituisce silenziosamente gli indirizzi Bitcoin nel clipboard ogni 500 millisecondi, reindirizzando i pagamenti verso i portafogli degli attaccanti. Ruba anche frasi seed BIP39, chiavi private e screenshot, inviandoli via Tor. \u00c8 attivo da almeno febbraio 2026 e prende di mira Bitcoin in tutti e quattro i formati (legacy, P2SH, SegWit, Taproot), oltre a Tron e Monero.<\/p>\n<\/div>\n<\/div>\n\n<div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n<h3 class=\"wp-block-heading\" itemprop=\"name\">Un hardware wallet protegge da CryptoBandits?<\/h3>\n<div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n<p class=\"wp-block-paragraph\" itemprop=\"text\">Non completamente. L&#8217;hardware wallet firma la transazione presentata: se CryptoBandits ha gi\u00e0 sostituito l&#8217;indirizzo nel clipboard prima dell&#8217;incolla, il dispositivo autorizzer\u00e0 un pagamento verso il portafoglio dell&#8217;attaccante. La protezione richiede di verificare l&#8217;intero indirizzo di destinazione carattere per carattere sullo schermo del dispositivo hardware prima di firmare ogni transazione.<\/p>\n<\/div>\n<\/div>\n\n<div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n<h3 class=\"wp-block-heading\" itemprop=\"name\">Come si propaga CryptoBandits e come posso verificare se sono infetto?<\/h3>\n<div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n<p class=\"wp-block-paragraph\" itemprop=\"text\">CryptoBandits si diffonde tramite file .lnk malevoli su chiavette USB, replicandosi su ogni USB pulita inserita in una macchina infetta. Per verificare l&#8217;infezione, Microsoft ha pubblicato hash SHA-256 e query KQL nel Security Blog del 17 giugno 2026. I segnali chiave: connessioni a localhost:9050 (proxy Tor) e processi script che avviano processi figlio inattesi. Microsoft Defender Antivirus rileva Trojan:Win32\/CryptoBandits.A con gli aggiornamenti recenti.<\/p>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Un worm Windows chiamato CryptoBandits (Trojan:Win32\/CryptoBandits.A) sostituisce in silenzio gli indirizzi Bitcoin nel clipboard, reindirizzando i pagamenti verso i portafogli degli attaccanti. Microsoft Threat Intelligence&#8230;<\/p>\n","protected":false},"author":2,"featured_media":2850,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[608],"tags":[],"class_list":["post-3505","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-novita"],"_links":{"self":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3505","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/comments?post=3505"}],"version-history":[{"count":0,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3505\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media\/2850"}],"wp:attachment":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media?parent=3505"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/categories?post=3505"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/tags?post=3505"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}