Crypto Clipper è il nome con cui i ricercatori di Microsoft hanno battezzato una nuova famiglia di malware pensata per un solo obiettivo, rubare criptovalute. Il meccanismo è quasi banale nella sua semplicità, eppure proprio per questo risulta tremendamente efficace. Il software malevolo si infila negli appunti di Windows e sostituisce gli indirizzi dei wallet copiati dall’utente con altri controllati dai criminali. Basta una distrazione e i fondi finiscono nelle tasche sbagliate.
Quello che ha attirato l’attenzione degli esperti, che seguono questa campagna a partire da febbraio 2026, non è tanto il funzionamento di base quanto un dettaglio che cambia le carte in tavola. Questo clipper sa propagarsi da solo tra computer diversi sfruttando le chiavette USB, con dinamiche che ricordano da vicino i vecchi worm informatici. E c’è un aspetto che rende il tutto ancora più pesante, una transazione su blockchain, una volta confermata, è praticamente irreversibile. Niente storni, niente chargeback, niente possibilità di tornare indietro come accade con le frodi bancarie classiche.
Come agisce e perché si diffonde così in fretta
Il principio dietro l’attacco è lineare. Il malware tiene d’occhio in continuazione il contenuto degli appunti di Windows, andando a caccia di stringhe che assomigliano a indirizzi di portafogli crypto. Quando ne trova uno, lo scambia all’istante con un indirizzo gestito dagli aggressori. Se chi sta per inviare il pagamento non controlla bene il destinatario, i soldi partono senza il minimo segnale di allarme. Nessuna spia che si accende, nessun avviso.
La cosa interessante è che non serve mettere le mani sulle chiavi private e non viene sfruttata alcuna falla della blockchain. Tutto si gioca sull’errore umano, sul fatto che gli indirizzi crypto sono sequenze lunghissime di lettere e numeri, impossibili da memorizzare e scomode da verificare cifra per cifra.
Poi c’è la parte più sofisticata, la diffusione autonoma. Il primo contagio passa attraverso file LNK malevoli nascosti dentro le chiavette USB. Una volta avviato, il malware crea copie di sé stesso e prova a saltare su ogni altra unità collegata al computer. Un comportamento che riporta alla mente i worm di un tempo, con un vantaggio non da poco per chi attacca, riesce a raggiungere anche sistemi staccati da Internet o tenuti separati dalle reti esterne.
Dopo essersi insediato, il malware apre un canale di comunicazione con l’infrastruttura dei criminali usando la rete Tor, il che rende molto più difficile risalire ai server di comando e controllo. Gli analisti hanno notato pure funzioni paragonabili a una backdoor definita leggera, che permette agli operatori di mantenere un piede dentro i sistemi colpiti per operazioni future. Per passare inosservato, l’attacco si appoggia a componenti legittimi di Windows come PowerShell, WScript e CScript, una strategia conosciuta come Living off the Land.
Cosa si può fare per difendersi
Per ridurre i rischi, Microsoft consiglia di disattivare AutoRun e AutoPlay sui dispositivi rimovibili e di bloccare l’esecuzione dei file LNK che arrivano dalle USB tramite le policy di sistema. Chi gestisce reti aziendali dovrebbe tenere d’occhio gli usi anomali di PowerShell e degli interpreti di script, affidandosi a strumenti di rilevamento comportamentale capaci di individuare attività sospette anche quando non esistono firme malware riconoscibili.
Per chi muove criptovalute il consiglio resta sempre lo stesso, controllare l’indirizzo completo del destinatario prima di premere invio, non solo le prime e le ultime cifre. Un hardware wallet con display indipendente aiuta ad abbassare ulteriormente il pericolo, a patto però di leggere con attenzione l’indirizzo che compare sullo schermo del dispositivo. Crypto Clipper mostra bene come il furto di criptovalute stia prendendo una piega sempre più simile a quella dei worm tradizionali, prendendo di mira i dispositivi degli utenti finali invece delle piattaforme di exchange.