{"id":3520,"date":"2026-06-23T12:05:23","date_gmt":"2026-06-23T12:05:23","guid":{"rendered":"https:\/\/news.bitcoinlive24.com\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/"},"modified":"2026-06-23T12:05:23","modified_gmt":"2026-06-23T12:05:23","slug":"cryptobandits-worm-windows-bitcoin-clipboard-usb","status":"publish","type":"post","link":"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/","title":{"rendered":"CryptoBandits: il Worm Windows che Ruba Bitcoin via USB e Clipboard"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><strong>Microsoft Threat Intelligence<\/strong> ha pubblicato il 22 giugno 2026 un avviso su <strong>CryptoBandits<\/strong>, un worm per Windows che si propaga tramite chiavette USB e sostituisce silenziosamente gli indirizzi Bitcoin copiati negli appunti (clipboard) con quelli controllati dagli attaccanti. Il malware \u00e8 attivo almeno da <strong>febbraio 2026<\/strong> e utilizza la rete Tor per esfiltrare i dati delle vittime.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-transparent ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/#Come_funziona_CryptoBandits_il_clipboard_hijacking_che_svuota_i_wallet\" >Come funziona CryptoBandits: il clipboard hijacking che svuota i wallet<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/#Da_quando_e_attivo_e_chi_e_nel_mirino\" >Da quando \u00e8 attivo e chi \u00e8 nel mirino<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/#Perche_il_clipboard_hijacking_e_una_minaccia_sottovalutata\" >Perch\u00e9 il clipboard hijacking \u00e8 una minaccia sottovalutata<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/#Come_proteggersi_le_misure_essenziali\" >Come proteggersi: le misure essenziali<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/#Il_contesto_la_sicurezza_Bitcoin_nel_2026\" >Il contesto: la sicurezza Bitcoin nel 2026<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/#Conclusione\" >Conclusione<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/bitcoinlive24.com\/news\/cryptobandits-worm-windows-bitcoin-clipboard-usb\/#FAQ_%E2%80%94_Domande_frequenti_su_CryptoBandits\" >FAQ \u2014 Domande frequenti su CryptoBandits<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_funziona_CryptoBandits_il_clipboard_hijacking_che_svuota_i_wallet\"><\/span>Come funziona CryptoBandits: il clipboard hijacking che svuota i wallet<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Il meccanismo di attacco sfrutta un comportamento comune di chi usa Bitcoin: copiare e incollare l&#8217;indirizzo di destinazione prima di inviare una transazione. CryptoBandits monitora il contenuto degli appunti di sistema in tempo reale e, appena rileva una stringa che assomiglia a un indirizzo crittografico, la sostituisce con un indirizzo controllato dagli attaccanti. Il risultato \u00e8 che il mittente invia i fondi al ladro, convinto di stare usando il proprio indirizzo.<\/p>\n\n<p class=\"wp-block-paragraph\">Secondo l&#8217;analisi di Microsoft, il worm colpisce portafogli <strong>Bitcoin (BTC)<\/strong>, Monero (XMR) e Tron (TRX). La diffusione avviene tramite unit\u00e0 USB infette: quando il dispositivo viene collegato a un computer Windows vulnerabile, il malware si installa automaticamente senza che l&#8217;utente debba aprire alcun file. Le comunicazioni con i server di comando e controllo avvengono su <strong>rete Tor<\/strong>, rendendo pi\u00f9 difficile il tracciamento degli operatori.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Da_quando_e_attivo_e_chi_e_nel_mirino\"><\/span>Da quando \u00e8 attivo e chi \u00e8 nel mirino<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Microsoft ha rilevato le prime tracce di CryptoBandits a partire da <strong>febbraio 2026<\/strong>. Il target principale \u00e8 l&#8217;utente Windows che gestisce wallet crypto senza misure di sicurezza avanzate: chi usa software di portafogli desktop, chi copia indirizzi da exchange o block explorer e chi lavora con chiavette USB condivise in ambienti di lavoro o contesti domestici.<\/p>\n\n<p class=\"wp-block-paragraph\">La minaccia non riguarda esclusivamente piccoli investitori retail. Anche i professionisti che gestiscono operazioni Bitcoin per conto terzi \u2014 come amministratori di tesoreria aziendali o operatori di exchange non custodiali \u2014 potrebbero essere esposti se operano da macchine Windows non aggiornate o prive di protezione avanzata degli appunti.<\/p>\n\n<figure class=\"wp-block-table\"><div style=\"overflow-x:auto\"><table>\n  <thead>\n    <tr>\n      <th>Caratteristica<\/th>\n      <th>Dettaglio<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td>Nome malware<\/td>\n      <td>CryptoBandits<\/td>\n    <\/tr>\n    <tr>\n      <td>Sistema colpito<\/td>\n      <td>Windows (tutte le versioni recenti)<\/td>\n    <\/tr>\n    <tr>\n      <td>Vettore di diffusione<\/td>\n      <td>Chiavette USB infette<\/td>\n    <\/tr>\n    <tr>\n      <td>Tecnica<\/td>\n      <td>Clipboard hijacking<\/td>\n    <\/tr>\n    <tr>\n      <td>Criptovalute bersaglio<\/td>\n      <td>Bitcoin (BTC), Monero (XMR), Tron (TRX)<\/td>\n    <\/tr>\n    <tr>\n      <td>Esfiltrazione dati<\/td>\n      <td>Rete Tor<\/td>\n    <\/tr>\n    <tr>\n      <td>Attivo dal<\/td>\n      <td>Febbraio 2026<\/td>\n    <\/tr>\n    <tr>\n      <td>Fonte avviso<\/td>\n      <td>Microsoft Threat Intelligence (giugno 2026)<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table><\/div><\/figure>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Perche_il_clipboard_hijacking_e_una_minaccia_sottovalutata\"><\/span>Perch\u00e9 il clipboard hijacking \u00e8 una minaccia sottovalutata<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Il clipboard hijacking non \u00e8 una tecnica nuova nel panorama delle minacce crypto, ma la sua efficacia rimane alta perch\u00e9 sfrutta un&#8217;abitudine consolidata: la maggior parte degli utenti non verifica manualmente ogni cifra di un indirizzo Bitcoin dopo averlo incollato. Gli indirizzi BTC nativi (formato bech32, es. <code>bc1q...<\/code>) contengono 42 caratteri alfanumerici e un controllo visivo completo \u00e8 impraticabile nella pratica quotidiana.<\/p>\n\n<p class=\"wp-block-paragraph\">Come ha analizzato <a href=\"https:\/\/bitcoinlive24.com\/news\/bitcoin-on-chain-attivita-rete-cryptoquant-rialzista\/\" rel=\"nofollow\">BitcoinLive24 in questo articolo sull&#8217;attivit\u00e0 di rete<\/a>, l&#8217;ecosistema Bitcoin conta oggi oltre 800.000 transazioni giornaliere: una superficie d&#8217;attacco enorme per chi vuole intercettare operazioni in transito. Un singolo worm ben distribuito pu\u00f2 raccogliere decine di BTC nel tempo senza mai destare sospetti fino alla riconciliazione dei conti.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Come_proteggersi_le_misure_essenziali\"><\/span>Come proteggersi: le misure essenziali<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">La prevenzione contro CryptoBandits e le minacce simili richiede un cambio di abitudini operative, non solo un aggiornamento software. La redazione di BitcoinLive24 riassume le misure pi\u00f9 efficaci:<\/p>\n\n<ul class=\"wp-block-list\">\n  <li><strong>Verifica sempre i primi e ultimi 6 caratteri<\/strong> dell&#8217;indirizzo incollato rispetto all&#8217;originale, prima di confermare qualsiasi transazione.<\/li>\n  <li><strong>Usa hardware wallet<\/strong> con display integrato (Ledger, Trezor, Coldcard): l&#8217;indirizzo di destinazione viene mostrato sul dispositivo fisico, indipendentemente da ci\u00f2 che appare sullo schermo del PC.<\/li>\n  <li><strong>Non collegare chiavette USB di provenienza sconosciuta<\/strong> a macchine dove gestisci fondi crypto.<\/li>\n  <li><strong>Mantieni Windows aggiornato<\/strong> e attiva Windows Defender in tempo reale, che secondo Microsoft rileva CryptoBandits dopo l&#8217;aggiornamento delle firme di giugno 2026.<\/li>\n  <li><strong>Considera un sistema operativo dedicato<\/strong> (es. Linux o macOS) per le operazioni Bitcoin, riducendo l&#8217;esposizione ai worm Windows.<\/li>\n<\/ul>\n\n<p class=\"wp-block-paragraph\">Chi usa portafogli software su Windows dovrebbe verificare immediatamente se il proprio sistema \u00e8 stato esposto a chiavette USB esterne nelle ultime settimane. Come riportato nell&#8217;<a href=\"https:\/\/bitcoinlive24.com\/news\/bitcoin-layer-2-bear-market-botanix\/\" rel=\"nofollow\">analisi sull&#8217;ecosistema Bitcoin<\/a> pubblicata da BitcoinLive24, la self-custody rimane il pilastro della sicurezza \u2014 ma richiede consapevolezza operativa costante.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_contesto_la_sicurezza_Bitcoin_nel_2026\"><\/span>Il contesto: la sicurezza Bitcoin nel 2026<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">CryptoBandits si inserisce in un quadro pi\u00f9 ampio di minacce fisiche e digitali che prendono di mira i detentori di Bitcoin. Negli stessi giorni in cui Microsoft ha pubblicato il proprio avviso, utenti di Coldcard \u2014 uno degli hardware wallet pi\u00f9 diffusi tra i Bitcoiner esperti \u2014 hanno segnalato tentativi di phishing via posta fisica: lettere che imitano comunicazioni ufficiali del produttore, invitando le vittime a inserire il dispositivo in un computer compromesso.<\/p>\n\n<p class=\"wp-block-paragraph\">L&#8217;evoluzione delle minacce segnala che i criminali specializzati in furti crypto stanno diversificando i vettori di attacco: non pi\u00f9 solo phishing online o malware scaricato da siti malevoli, ma vettori fisici (USB, posta) pensati per aggirare le protezioni perimetrali pi\u00f9 comuni. Per i possessori di Bitcoin che credono nella self-custody, il perimetro di sicurezza si estende ormai ben oltre lo schermo del computer.<\/p>\n\n<p class=\"wp-block-paragraph\">La notizia \u00e8 stata originariamente riportata da <a href=\"https:\/\/www.tftc.io\/cryptobandits-usb-worm-hijacks-bitcoin-clipboard-windows\/\" rel=\"nofollow noopener\" target=\"_blank\">TFTC<\/a>, che ha analizzato il disclosure di Microsoft Threat Intelligence.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Conclusione\"><\/span>Conclusione<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">CryptoBandits \u00e8 un promemoria brutale: possedere Bitcoin in self-custody richiede disciplina operativa, non solo la scelta del wallet giusto. Un worm distribuito via USB, attivo da mesi in silenzio, dimostra che gli attaccanti sono pazienti e metodici. La risposta deve essere altrettanto sistematica: verificare ogni indirizzo, non connettere hardware non fidato, tenere i sistemi aggiornati.<\/p>\n\n<p class=\"wp-block-paragraph\">Vuoi ricevere aggiornamenti di sicurezza Bitcoin in tempo reale? <a href=\"https:\/\/bitcoinlive24.com\">Scarica l&#8217;app BitcoinLive24<\/a> e attiva le notifiche push per i bollettini di sicurezza.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"FAQ_%E2%80%94_Domande_frequenti_su_CryptoBandits\"><\/span>FAQ \u2014 Domande frequenti su CryptoBandits<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<h3 class=\"wp-block-heading\">Cos&#8217;\u00e8 CryptoBandits e come ruba Bitcoin?<\/h3>\n<p class=\"wp-block-paragraph\">CryptoBandits \u00e8 un worm Windows che sostituisce automaticamente gli indirizzi Bitcoin negli appunti (clipboard) con indirizzi controllati dagli attaccanti. Quando l&#8217;utente incolla l&#8217;indirizzo per inviare una transazione, i fondi vengono dirottati verso il ladro senza che il mittente se ne accorga.<\/p>\n\n<h3 class=\"wp-block-heading\">Come si diffonde il worm CryptoBandits?<\/h3>\n<p class=\"wp-block-paragraph\">CryptoBandits si propaga tramite chiavette USB infette: basta collegare il dispositivo a un computer Windows vulnerabile perch\u00e9 il malware si installi automaticamente. Una volta attivo, comunica con i server di controllo attraverso la rete Tor per esfiltrare i dati.<\/p>\n\n<h3 class=\"wp-block-heading\">Quali criptovalute sono nel mirino di CryptoBandits?<\/h3>\n<p class=\"wp-block-paragraph\">Il malware prende di mira principalmente Bitcoin (BTC), ma colpisce anche Monero (XMR) e Tron (TRX). Gli indirizzi di tutte e tre le criptovalute possono essere sostituiti nel clipboard durante una transazione.<\/p>\n\n<h3 class=\"wp-block-heading\">Come posso proteggermi da CryptoBandits?<\/h3>\n<p class=\"wp-block-paragraph\">Le misure pi\u00f9 efficaci sono: usare un hardware wallet con display fisico che mostra l&#8217;indirizzo di destinazione indipendentemente dal PC, verificare manualmente i primi e ultimi caratteri di ogni indirizzo prima di confermare, non collegare USB di provenienza sconosciuta e mantenere Windows aggiornato con le definizioni di sicurezza di giugno 2026.<\/p>\n\n<h3 class=\"wp-block-heading\">Windows Defender rileva CryptoBandits?<\/h3>\n<p class=\"wp-block-paragraph\">S\u00ec, secondo Microsoft Threat Intelligence, Windows Defender \u00e8 in grado di rilevare CryptoBandits dopo l&#8217;aggiornamento delle firme rilasciato a giugno 2026. \u00c8 fondamentale che il sistema di protezione sia attivo e aggiornato in tempo reale.<\/p>","protected":false},"excerpt":{"rendered":"<p>Microsoft Threat Intelligence ha pubblicato il 22 giugno 2026 un avviso su CryptoBandits, un worm per Windows che si propaga tramite chiavette USB e sostituisce&#8230;<\/p>\n","protected":false},"author":2,"featured_media":2599,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[608],"tags":[],"class_list":["post-3520","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-novita"],"_links":{"self":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/comments?post=3520"}],"version-history":[{"count":0,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/3520\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media\/2599"}],"wp:attachment":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media?parent=3520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/categories?post=3520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/tags?post=3520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}