{"id":3518,"date":"2026-06-23T10:09:40","date_gmt":"2026-06-23T10:09:40","guid":{"rendered":"https:\/\/news.bitcoinlive24.com\/cryptobandits-worm-usb-bitcoin-windows-2\/"},"modified":"2026-06-23T10:09:40","modified_gmt":"2026-06-23T10:09:40","slug":"cryptobandits-worm-usb-bitcoin-windows-2","status":"publish","type":"post","link":"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows-2\/","title":{"rendered":"CryptoBandits: il Worm USB Windows che Ruba Bitcoin dal Copia-Incolla"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><strong>Microsoft Threat Intelligence<\/strong> ha emesso un avviso urgente su <strong>CryptoBandits<\/strong>, un worm informatico per Windows che si diffonde via chiavette USB e intercetta gli indirizzi Bitcoin (e altri wallet crypto) nel momento in cui vengono copiati negli appunti di sistema. Attivo almeno da febbraio 2026, il malware utilizza la rete anonima <strong>Tor<\/strong> per esfiltrare i fondi verso i server degli attaccanti senza lasciare tracce facilmente rintracciabili.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-transparent ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows-2\/#Come_funziona_CryptoBandits_il_clipboard_hijacking_su_Bitcoin\" >Come funziona CryptoBandits: il clipboard hijacking su Bitcoin<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows-2\/#Diffusione_via_USB_e_utilizzo_di_Tor\" >Diffusione via USB e utilizzo di Tor<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows-2\/#Bitcoin_Tron_e_Monero_nel_mirino_perche_questi_asset\" >Bitcoin, Tron e Monero nel mirino: perch\u00e9 questi asset?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows-2\/#Come_proteggersi_le_misure_di_sicurezza_essenziali\" >Come proteggersi: le misure di sicurezza essenziali<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows-2\/#Il_contesto_i_malware_crypto_sono_in_crescita_nel_2026\" >Il contesto: i malware crypto sono in crescita nel 2026<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows-2\/#Conclusione_la_sicurezza_Bitcoin_parte_dallutente\" >Conclusione: la sicurezza Bitcoin parte dall&#8217;utente<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-usb-bitcoin-windows-2\/#FAQ_%E2%80%94_Domande_frequenti_su_CryptoBandits_e_Bitcoin\" >FAQ \u2014 Domande frequenti su CryptoBandits e Bitcoin<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_funziona_CryptoBandits_il_clipboard_hijacking_su_Bitcoin\"><\/span>Come funziona CryptoBandits: il clipboard hijacking su Bitcoin<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Il meccanismo di attacco di CryptoBandits \u00e8 tecnicamente semplice ma devastante per chi non lo conosce. Quando un utente copia un indirizzo Bitcoin \u2014 ad esempio per fare un bonifico o incollarlo in un exchange \u2014 il malware intercetta l&#8217;operazione in background e sostituisce l&#8217;indirizzo originale con uno controllato dagli attaccanti. L&#8217;utente incolla quello che crede essere il proprio indirizzo di destinazione, ma in realt\u00e0 sta inviando i fondi ai criminali.<\/p>\n\n<p class=\"wp-block-paragraph\">Questo tipo di attacco \u00e8 noto come <strong>clipboard hijacking<\/strong> (dirottamento degli appunti) ed \u00e8 particolarmente pericoloso perch\u00e9 gli indirizzi Bitcoin sono lunghe stringhe alfanumeriche che nessuno verifica manualmente carattere per carattere. La finestra temporale tra copia e incolla \u00e8 sufficiente al worm per intervenire in modo silenzioso.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Diffusione_via_USB_e_utilizzo_di_Tor\"><\/span>Diffusione via USB e utilizzo di Tor<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">CryptoBandits si distingue dai malware crypto tradizionali per il vettore di infezione primario: le <strong>unit\u00e0 USB<\/strong> (chiavette, hard disk esterni, adattatori). Il worm si copia automaticamente su ogni dispositivo rimovibile collegato al PC infetto, replicandosi ogni volta che quella chiavetta viene inserita in un altro computer Windows.<\/p>\n\n<p class=\"wp-block-paragraph\">Secondo l&#8217;analisi di Microsoft Threat Intelligence, il malware utilizza <strong>Tor<\/strong> (The Onion Router, la rete anonima usata anche dal dark web) per comunicare con i server di comando e controllo degli attaccanti. Questo rende estremamente difficile tracciare l&#8217;infrastruttura criminale e identificare gli autori. I fondi Bitcoin rubati transitano su wallet gestiti automaticamente, senza intervento umano diretto.<\/p>\n\n<figure class=\"wp-block-table\"><div style=\"overflow-x:auto\"><table>\n  <thead>\n    <tr>\n      <th>Caratteristica<\/th>\n      <th>Dettaglio<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td>Nome malware<\/td>\n      <td>CryptoBandits<\/td>\n    <\/tr>\n    <tr>\n      <td>Sistemi colpiti<\/td>\n      <td>Windows (tutte le versioni recenti)<\/td>\n    <\/tr>\n    <tr>\n      <td>Vettore di diffusione<\/td>\n      <td>Unit\u00e0 USB (chiavette, HDD esterni)<\/td>\n    <\/tr>\n    <tr>\n      <td>Tecnica di attacco<\/td>\n      <td>Clipboard hijacking (sostituzione indirizzi crypto)<\/td>\n    <\/tr>\n    <tr>\n      <td>Crypto colpite<\/td>\n      <td>Bitcoin, Tron, Monero<\/td>\n    <\/tr>\n    <tr>\n      <td>Comunicazione C2<\/td>\n      <td>Tor (rete anonima)<\/td>\n    <\/tr>\n    <tr>\n      <td>Attivo da<\/td>\n      <td>Almeno febbraio 2026<\/td>\n    <\/tr>\n    <tr>\n      <td>Fonte allarme<\/td>\n      <td>Microsoft Threat Intelligence<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table><\/div><\/figure>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Bitcoin_Tron_e_Monero_nel_mirino_perche_questi_asset\"><\/span>Bitcoin, Tron e Monero nel mirino: perch\u00e9 questi asset?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">CryptoBandits prende di mira specificamente <strong>Bitcoin (BTC)<\/strong>, <strong>Tron (TRX)<\/strong> e <strong>Monero (XMR)<\/strong>. La scelta non \u00e8 casuale: questi tre asset condividono transazioni irreversibili (una volta inviato il Bitcoin all&#8217;indirizzo sbagliato non c&#8217;\u00e8 modo di recuperarlo), elevata liquidit\u00e0 e, nel caso di Monero, ulteriore anonimato per i criminali.<\/p>\n\n<p class=\"wp-block-paragraph\">Per gli utenti Bitcoin, il rischio \u00e8 particolarmente alto perch\u00e9 Bitcoin \u00e8 l&#8217;asset pi\u00f9 utilizzato per pagamenti peer-to-peer e i trasferimenti avvengono spesso tramite copia-incolla dell&#8217;indirizzo dal wallet o dall&#8217;exchange. Un singolo trasferimento errato pu\u00f2 significare la perdita definitiva di somme significative.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_proteggersi_le_misure_di_sicurezza_essenziali\"><\/span>Come proteggersi: le misure di sicurezza essenziali<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">La redazione di BitcoinLive24 raccomanda le seguenti contromisure immediate per chi detiene Bitcoin su Windows:<\/p>\n\n<ul class=\"wp-block-list\">\n  <li><strong>Verifica sempre l&#8217;indirizzo dopo l&#8217;incolla<\/strong>: confronta almeno i primi 6 e gli ultimi 6 caratteri dell&#8217;indirizzo copiato con quello mostrato nel campo di destinazione. Se differiscono anche di un solo carattere, non procedere.<\/li>\n  <li><strong>Aggiorna Windows e il tuo antivirus<\/strong>: Microsoft ha gi\u00e0 distribuito signature di rilevamento per CryptoBandits nei suoi sistemi di sicurezza (Windows Defender).<\/li>\n  <li><strong>Evita chiavette USB di provenienza sconosciuta<\/strong>: non inserire mai dispositivi rimovibili trovati o ricevuti da fonti non fidate.<\/li>\n  <li><strong>Usa un hardware wallet<\/strong>: dispositivi come Ledger o Trezor mostrano l&#8217;indirizzo di destinazione sullo schermo del device fisico prima della firma, rendendo il clipboard hijacking inefficace.<\/li>\n  <li><strong>Attiva il controllo accessi USB<\/strong>: nelle impostazioni aziendali Windows, considera di disabilitare il montaggio automatico di dispositivi USB non autorizzati.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_contesto_i_malware_crypto_sono_in_crescita_nel_2026\"><\/span>Il contesto: i malware crypto sono in crescita nel 2026<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">CryptoBandits non \u00e8 un caso isolato. Il 2026 ha registrato un aumento significativo degli attacchi informatici mirati ai detentori di Bitcoin e crypto, parallelamente alla crescita del valore degli asset digitali. La tecnica del clipboard hijacking esiste da diversi anni \u2014 i primi esempi risalgono al 2017 \u2014 ma si \u00e8 evoluta in forme sempre pi\u00f9 sofisticate, integrando meccanismi di persistenza e comunicazione anonima come Tor.<\/p>\n\n<p class=\"wp-block-paragraph\">Secondo i ricercatori di Microsoft, CryptoBandits utilizza tecniche di <strong>persistenza avanzata<\/strong> che gli consentono di sopravvivere ai riavvii del sistema e di risincronizzarsi con i server di controllo ogni volta che il computer si connette a internet. Questo lo rende particolarmente difficile da rimuovere senza tool specializzati.<\/p>\n\n<p class=\"wp-block-paragraph\">Per approfondire il tema della sicurezza Bitcoin, puoi leggere la nostra guida alle <a href=\"https:\/\/bitcoinlive24.com\/news\/categoria\/crescita\/\">migliori pratiche di self-custody<\/a> e la copertura delle <a href=\"https:\/\/bitcoinlive24.com\/news\/categoria\/novita\/\">ultime notizie Bitcoin<\/a> su BitcoinLive24.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Conclusione_la_sicurezza_Bitcoin_parte_dallutente\"><\/span>Conclusione: la sicurezza Bitcoin parte dall&#8217;utente<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">CryptoBandits \u00e8 un promemoria brutale di una regola fondamentale nel mondo Bitcoin: <strong>la responsabilit\u00e0 della custodia \u00e8 dell&#8217;utente<\/strong>. A differenza del sistema bancario tradizionale, non esiste un numero verde da chiamare per bloccare o annullare un trasferimento Bitcoin andato storto. La prevenzione \u00e8 l&#8217;unica difesa efficace.<\/p>\n\n<p class=\"wp-block-paragraph\">L&#8217;allarme di Microsoft Threat Intelligence deve essere preso sul serio da chiunque utilizzi Windows per gestire wallet Bitcoin. Aggiornare il sistema, verificare gli indirizzi carattere per carattere e valutare l&#8217;adozione di un hardware wallet sono passi che possono fare la differenza tra sicurezza e perdita irrecuperabile.<\/p>\n\n<p class=\"wp-block-paragraph\">Scarica l&#8217;app <a href=\"https:\/\/bitcoinlive24.com\">BitcoinLive24<\/a> per ricevere notifiche in tempo reale su notizie di sicurezza e aggiornamenti Bitcoin appena escono.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"FAQ_%E2%80%94_Domande_frequenti_su_CryptoBandits_e_Bitcoin\"><\/span>FAQ \u2014 Domande frequenti su CryptoBandits e Bitcoin<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<div itemscope itemtype=\"https:\/\/schema.org\/FAQPage\">\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Cos&#8217;\u00e8 CryptoBandits e perch\u00e9 \u00e8 pericoloso per chi ha Bitcoin?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">CryptoBandits \u00e8 un worm Windows che intercetta gli indirizzi Bitcoin (e Tron, Monero) copiati negli appunti di sistema e li sostituisce con indirizzi controllati dai criminali. \u00c8 pericoloso perch\u00e9 agisce silenziosamente in background: l&#8217;utente crede di inviare i fondi alla destinazione corretta ma li manda agli attaccanti, senza possibilit\u00e0 di recupero.<\/p>\n    <\/div>\n  <\/div>\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Come si diffonde il malware CryptoBandits?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">CryptoBandits si diffonde principalmente tramite unit\u00e0 USB infette (chiavette, hard disk esterni). Quando un dispositivo rimovibile viene inserito in un PC gi\u00e0 infetto, il worm si copia automaticamente sulla chiavetta, pronto a infettare il prossimo computer Windows in cui viene inserita.<\/p>\n    <\/div>\n  <\/div>\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Come posso verificare se il mio indirizzo Bitcoin \u00e8 stato compromesso prima di inviare?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">Dopo aver incollato un indirizzo Bitcoin nel campo di destinazione, confronta i primi 6 e gli ultimi 6 caratteri con l&#8217;indirizzo originale (quello mostrato dal tuo wallet o dall&#8217;exchange mittente). Se c&#8217;\u00e8 qualsiasi differenza, non procedere: il tuo sistema potrebbe essere infetto da CryptoBandits o malware simili.<\/p>\n    <\/div>\n  <\/div>\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Un hardware wallet protegge da CryptoBandits?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">S\u00ec, un hardware wallet come Ledger o Trezor offre protezione efficace contro il clipboard hijacking. Questi dispositivi mostrano l&#8217;indirizzo di destinazione sul proprio schermo fisico prima che l&#8217;utente autorizzi la transazione, permettendo la verifica diretta indipendente dal computer potenzialmente infetto.<\/p>\n    <\/div>\n  <\/div>\n\n  <div itemscope itemprop=\"mainEntity\" itemtype=\"https:\/\/schema.org\/Question\">\n    <h3 class=\"wp-block-heading\" itemprop=\"name\">Windows Defender rileva gi\u00e0 CryptoBandits?<\/h3>\n    <div itemscope itemprop=\"acceptedAnswer\" itemtype=\"https:\/\/schema.org\/Answer\">\n      <p class=\"wp-block-paragraph\" itemprop=\"text\">S\u00ec, Microsoft ha gi\u00e0 aggiornato le definizioni di Windows Defender per rilevare CryptoBandits dopo la divulgazione pubblica da parte di Microsoft Threat Intelligence. \u00c8 fondamentale mantenere Windows e Windows Defender aggiornati per essere protetti dalle varianti note del malware.<\/p>\n    <\/div>\n  <\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Microsoft Threat Intelligence ha emesso un avviso urgente su CryptoBandits, un worm informatico per Windows che si diffonde via chiavette USB e intercetta gli indirizzi&#8230;<\/p>\n","protected":false},"author":2,"featured_media":2599,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[608],"tags":[],"class_list":["post-3518","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-novita"],"_links":{"self":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3518","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/comments?post=3518"}],"version-history":[{"count":0,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3518\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media\/2599"}],"wp:attachment":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media?parent=3518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/categories?post=3518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/tags?post=3518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}