I ricercatori di Microsoft hanno identificato un malware che si propaga tramite dispositivi USB (worm) e intercetta il contenuto degli appunti (clipper) per rubare le criptovalute. Crypto Clipper sfrutta la rete Tor come mezzo di comunicazione per nascondere il traffico di rete. L’azienda di Redmond ha fornito alcuni suggerimenti per limitare i rischi, tra cui la disattivazione dell’autoplay per le unità rimovibili.
Descrizione di Crypto Clipper
Microsoft spiega che la catena di infezione inizia quando l’utente esegue un file .lnk presente su un’unità di storage USB. Viene quindi scaricato il componente worm di Crypto Clipper da un server remoto. Dopo aver effettuato la scansione del dispositivo USB nasconde i file originali e crea file .lnk con lo stesso nome, quindi l’ignara vittima non si accorge che eseguirà il malware.
Successivamente vengono scaricati il componente clipper/stealer e due file JavaScript che consentono di ottenere la persistenza attraverso la creazione di attività pianificate, una delle quali usata per diffondere l’infezione quando viene collegato un’unità rimovibile.
Tra i file scaricati c’è anche un client Tor (ugate.exe). Invece di una tradizionale infrastruttura con indirizzi IP, i cybercriminali sfruttano domini .onion per nascondere la destinazione finale, ovvero il server C2 (command and control) che riceverà i dati rubati dal clipper.
Crypto Clipper viene eseguito in memoria (nessuna traccia su disco) ed effettua la scansione della clipboard (appunti) ogni 500 millisecondi per intercettare seed phrase e chiavi private dei wallet di criptovalute, tra cui Bitcoin, Ethereum, Monero e Tron. Gli indirizzi dei wallet vengono quindi sostituiti con quelli dei cybercriminali. Il malware cattura anche 5 screenshot ogni 10 secondi.
Microsoft consiglia di disattivare l’autoplay e bloccare l’esecuzione dei file .lnk dalle unità removibili. Le varie versioni di Defender sono state aggiornate, quindi possono rilevare e bloccare il malware.
Ti potrebbe interessare
19 giu 2026