{"id":3517,"date":"2026-06-23T09:08:33","date_gmt":"2026-06-23T09:08:33","guid":{"rendered":"https:\/\/news.bitcoinlive24.com\/cryptobandits-worm-usb-windows-bitcoin-wallet\/"},"modified":"2026-06-23T09:08:33","modified_gmt":"2026-06-23T09:08:33","slug":"cryptobandits-worm-usb-windows-bitcoin-wallet","status":"publish","type":"post","link":"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-windows-bitcoin-wallet\/","title":{"rendered":"CryptoBandits: il Worm USB di Windows che Ruba i Bitcoin"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><strong>Microsoft Threat Intelligence ha segnalato un nuovo worm per Windows chiamato CryptoBandits<\/strong>, attivo almeno da febbraio 2026, che si diffonde tramite chiavette USB e sostituisce silenziosamente gli indirizzi di portafoglio copiati negli appunti di sistema. Il malware prende di mira Bitcoin, Tron e Monero, intercettando le transazioni prima che l&#8217;utente se ne accorga, e invia i dati rubati attraverso la rete anonima Tor. La segnalazione, pubblicata il 22 giugno 2026, ha sollevato l&#8217;attenzione della comunit\u00e0 Bitcoin sulla sicurezza dei dispositivi Windows.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-transparent ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-windows-bitcoin-wallet\/#Come_Funziona_il_Worm_CryptoBandits\" >Come Funziona il Worm CryptoBandits<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-windows-bitcoin-wallet\/#Quali_Criptovalute_Sono_nel_Mirino\" >Quali Criptovalute Sono nel Mirino<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-windows-bitcoin-wallet\/#Da_Febbraio_2026_una_Minaccia_Silenziosa\" >Da Febbraio 2026: una Minaccia Silenziosa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-windows-bitcoin-wallet\/#Come_Proteggersi_Guida_Pratica\" >Come Proteggersi: Guida Pratica<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-windows-bitcoin-wallet\/#Il_Contesto_Malware_Clipboard_in_Crescita\" >Il Contesto: Malware Clipboard in Crescita<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-windows-bitcoin-wallet\/#FAQ_CryptoBandits_e_la_Sicurezza_Bitcoin\" >FAQ: CryptoBandits e la Sicurezza Bitcoin<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_Funziona_il_Worm_CryptoBandits\"><\/span>Come Funziona il Worm CryptoBandits<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">CryptoBandits \u00e8 un <strong>clipboard hijacker<\/strong> (dirottatore degli appunti): rimane in ascolto nel sistema operativo e, ogni volta che l&#8217;utente copia un indirizzo di criptovaluta, lo sostituisce istantaneamente con un indirizzo controllato dall&#8217;attaccante. L&#8217;operazione \u00e8 invisibile a occhio nudo: chi incolla l&#8217;indirizzo nel proprio wallet non nota alcuna differenza evidente.<\/p>\n\n<p class=\"wp-block-paragraph\">La propagazione avviene tramite <strong>chiavette USB<\/strong> infette. Basta collegare un dispositivo compromesso a un computer Windows perch\u00e9 il worm si installi automaticamente, senza richiedere alcuna azione da parte dell&#8217;utente. Una volta eseguito, stabilisce una connessione con server di comando e controllo attraverso <strong>Tor<\/strong>, rendendo difficile il tracciamento degli operatori.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Quali_Criptovalute_Sono_nel_Mirino\"><\/span>Quali Criptovalute Sono nel Mirino<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Secondo il rapporto di Microsoft Threat Intelligence, CryptoBandits intercetta indirizzi wallet per tre criptovalute:<\/p>\n\n<figure class=\"wp-block-table\"><figure class=\"wp-block-table\"><div style=\"overflow-x:auto\"><table>\n  <thead>\n    <tr>\n      <th>Criptovaluta<\/th>\n      <th>Tipologia indirizzo<\/th>\n      <th>Rischio<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>Bitcoin (BTC)<\/strong><\/td>\n      <td>Indirizzi P2PKH, P2SH, Bech32<\/td>\n      <td>Elevato<\/td>\n    <\/tr>\n    <tr>\n      <td>Tron (TRX)<\/td>\n      <td>Indirizzi con prefisso T<\/td>\n      <td>Elevato<\/td>\n    <\/tr>\n    <tr>\n      <td>Monero (XMR)<\/td>\n      <td>Indirizzi stealth lunghi<\/td>\n      <td>Medio<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table><\/div><\/figure><\/figure>\n\n<p class=\"wp-block-paragraph\">Bitcoin rimane il bersaglio primario per il valore economico pi\u00f9 elevato. Una singola transazione Bitcoin intercettata pu\u00f2 valere decine di migliaia di euro, rendendo il worm particolarmente redditizio per i criminali anche con una base di infezione relativamente piccola.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Da_Febbraio_2026_una_Minaccia_Silenziosa\"><\/span>Da Febbraio 2026: una Minaccia Silenziosa<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Microsoft ha confermato che <strong>CryptoBandits \u00e8 attivo almeno da febbraio 2026<\/strong>, circa quattro mesi prima della segnalazione pubblica. Il periodo di silenzio suggerisce che il malware ha operato inosservato per mesi, potenzialmente sottraendo fondi a un numero significativo di vittime. La natura furtiva del clipboard hijacking \u2014 la transazione appare formalmente corretta fino alla conferma in blockchain \u2014 rende difficile accorgersi del furto se non si verifica manualmente ogni indirizzo destinazione.<\/p>\n\n<p class=\"wp-block-paragraph\">L&#8217;uso di Tor per le comunicazioni con l&#8217;infrastruttura di comando rende particolarmente arduo risalire agli operatori. Come riportato da <a href=\"https:\/\/www.tftc.io\/cryptobandits-usb-worm-hijacks-bitcoin-clipboard-windows\/\" rel=\"nofollow noopener\" target=\"_blank\">TFTC<\/a>, i ricercatori di Microsoft descrivono CryptoBandits come un&#8217;operazione strutturata, non un exploit occasionale.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_Proteggersi_Guida_Pratica\"><\/span>Come Proteggersi: Guida Pratica<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">La difesa da CryptoBandits richiede semplici abitudini di sicurezza, valide anche per altri malware analoghi:<\/p>\n\n<ul class=\"wp-block-list\">\n  <li><strong>Verificare sempre l&#8217;indirizzo destinazione<\/strong> dopo averlo incollato, confrontando almeno i primi e gli ultimi 6-8 caratteri con l&#8217;originale<\/li>\n  <li><strong>Non collegare chiavette USB di provenienza sconosciuta<\/strong> a computer che si usano per gestire wallet Bitcoin<\/li>\n  <li><strong>Mantenere aggiornato Windows Defender<\/strong>: Microsoft ha gi\u00e0 aggiunto firme di rilevamento per CryptoBandits<\/li>\n  <li><strong>Usare hardware wallet dedicati<\/strong> (come Coldcard o Ledger) che mostrano l&#8217;indirizzo direttamente sul display del dispositivo fisico, ignorando gli appunti di sistema<\/li>\n  <li><strong>Considerare un sistema operativo dedicato<\/strong> per le transazioni Bitcoin, separato dal computer di uso quotidiano<\/li>\n<\/ul>\n\n<p class=\"wp-block-paragraph\">Come approfondito in precedenza da BitcoinLive24, la sicurezza fisica dei dispositivi rimane uno dei punti critici per chi detiene Bitcoin in self-custody. Puoi leggere altri approfondimenti sulla <a href=\"https:\/\/bitcoinlive24.com\/news\/category\/novita\/\">sicurezza Bitcoin<\/a> nella nostra sezione Novit\u00e0.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_Contesto_Malware_Clipboard_in_Crescita\"><\/span>Il Contesto: Malware Clipboard in Crescita<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">CryptoBandits non \u00e8 un caso isolato. Il <strong>clipboard hijacking<\/strong> \u00e8 una tecnica documentata da almeno il 2018, ma la sua evoluzione in forma di worm USB che si auto-propaga rappresenta un salto qualitativo nella pericolosit\u00e0. La combinazione tra auto-replicazione fisica (USB), intercettazione silenziosa e esfiltrazione via Tor crea uno strumento che pu\u00f2 diffondersi anche in reti isolate da Internet.<\/p>\n\n<p class=\"wp-block-paragraph\">Per gli utenti Bitcoin che usano computer Windows per gestire fondi, la regola d&#8217;oro rimane sempre la stessa: <strong>mai fidarsi degli appunti di sistema<\/strong> per indirizzi di criptovalute. Ogni importo significativo merita una verifica manuale dell&#8217;indirizzo, carattere per carattere.<\/p>\n\n<p class=\"wp-block-paragraph\">Segui gli aggiornamenti su questa e altre notizie Bitcoin sulla nostra <a href=\"https:\/\/bitcoinlive24.com\/news\/category\/novita\/\">pagina Novit\u00e0 di BitcoinLive24<\/a>, oppure ricevi avvisi in tempo reale <a href=\"https:\/\/bitcoinlive24.com\">scaricando l&#8217;app BitcoinLive24<\/a>.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"FAQ_CryptoBandits_e_la_Sicurezza_Bitcoin\"><\/span>FAQ: CryptoBandits e la Sicurezza Bitcoin<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<div itemscope itemtype=\"https:\/\/schema.org\/FAQPage\">\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Cos&#8217;\u00e8 CryptoBandits?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">CryptoBandits \u00e8 un worm per Windows scoperto da Microsoft Threat Intelligence che si diffonde tramite chiavette USB e sostituisce gli indirizzi Bitcoin, Tron e Monero copiati negli appunti di sistema con indirizzi controllati dai criminali, dirottando le transazioni verso portafogli degli attaccanti.<\/p>\n    <\/div>\n  <\/div>\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Da quando \u00e8 attivo il worm CryptoBandits?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">Microsoft ha confermato che CryptoBandits \u00e8 attivo almeno da febbraio 2026, circa quattro mesi prima della segnalazione pubblica avvenuta il 22 giugno 2026. Il lungo periodo di attivit\u00e0 silenziosa suggerisce che il malware ha colpito un numero significativo di vittime prima di essere identificato.<\/p>\n    <\/div>\n  <\/div>\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Come mi proteggo dal clipboard hijacking su Bitcoin?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">Per proteggersi dal clipboard hijacking su Bitcoin \u00e8 fondamentale verificare sempre l&#8217;indirizzo destinazione dopo averlo incollato, confrontando almeno i primi e gli ultimi 6-8 caratteri. L&#8217;uso di un hardware wallet (come Coldcard o Ledger) elimina il rischio perch\u00e9 l&#8217;indirizzo viene mostrato direttamente sul display fisico del dispositivo. Evitare anche di collegare USB di provenienza sconosciuta al computer usato per gestire Bitcoin.<\/p>\n    <\/div>\n  <\/div>\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Windows Defender rileva CryptoBandits?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">S\u00ec. Microsoft ha gi\u00e0 aggiunto firme di rilevamento per CryptoBandits a Windows Defender dopo la divulgazione pubblica del 22 giugno 2026. Mantenere aggiornato il sistema operativo e l&#8217;antivirus \u00e8 sufficiente per neutralizzare le varianti note del worm, anche se nuove varianti potrebbero eludere temporaneamente il rilevamento.<\/p>\n    <\/div>\n  <\/div>\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Il worm CryptoBandits colpisce solo Bitcoin?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">No, CryptoBandits intercetta indirizzi di portafoglio per Bitcoin (BTC), Tron (TRX) e Monero (XMR). Bitcoin rimane il bersaglio primario per il valore economico pi\u00f9 elevato, ma il malware \u00e8 progettato per colpire qualsiasi transazione in queste tre criptovalute effettuata su sistemi Windows infetti.<\/p>\n    <\/div>\n  <\/div>\n\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Microsoft Threat Intelligence ha segnalato un nuovo worm per Windows chiamato CryptoBandits, attivo almeno da febbraio 2026, che si diffonde tramite chiavette USB e sostituisce&#8230;<\/p>\n","protected":false},"author":2,"featured_media":3470,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[608],"tags":[],"class_list":["post-3517","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-novita"],"_links":{"self":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3517","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/comments?post=3517"}],"version-history":[{"count":0,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3517\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media\/3470"}],"wp:attachment":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media?parent=3517"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/categories?post=3517"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/tags?post=3517"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}