Microsoft trova un worm USB che ruba criptovalute tramite il dirottamento degli appunti e Tor

      TL;DRMicrosoft ha scoperto un worm USB attivo da febbraio che hijacks gli appunti per scambiare indirizzi di portafogli crypto e instrada i dati rubati attraverso un client Tor portatile. Microsoft Threat Intelligence ha identificato un nuovo ceppo di malware auto-propagante che si diffonde tramite unità USB, monitora gli appunti di Windows per indirizzi di portafogli di criptovalute e frasi seed, e instrada tutti i dati rubati attraverso un client Tor portatile per evitare il rilevamento. La campagna è attiva almeno da febbraio 2026, secondo l'analisi di Microsoft pubblicata questa settimana. Il malware, che Microsoft rileva come Trojan:Win32/CryptoBandits.A, funziona come un classico worm USB con un payload moderno. Quando un utente collega un'unità infetta, vede quelli che sembrano essere i suoi soliti file di documento. Gli originali sono stati nascosti, sostituiti da file di collegamento di Windows (.lnk) con gli stessi nomi che eseguono silenziosamente il malware quando aperti. I file .lnk scansionano l'unità per documenti con estensioni .doc, .xlsx e .pdf, nascondono gli originali e creano file di collegamento corrispondenti al loro posto. Il componente worm scrive anche se stesso su qualsiasi nuova unità USB collegata a una macchina infetta, consentendo di diffondersi ulteriormente senza azione da parte dell'utente oltre ad aprire quello che sembra un file normale. Il 💜 della tecnologia dell'UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!Una volta in esecuzione su un sistema, il malware distribuisce un client Tor portatile rinominato ugate.exe e configura un proxy SOCKS5 sulla porta localhost 9050. Tutto il traffico di comando e controllo viene quindi instradato attraverso la rete .onion di Tor, rendendo significativamente più difficile per i firewall aziendali e gli strumenti di sicurezza intercettare o rintracciare le comunicazioni. L'infrastruttura C2 utilizza tre percorsi endpoint: /route.php per i check-in, /recvf.php per il caricamento di file rubati e /stub.php per il download di payload aggiuntivi. Il monitoraggio degli appunti è il principale meccanismo di furto del malware. Controlla gli appunti di Windows circa ogni 500 millisecondi, cercando schemi che corrispondano a indirizzi di portafogli di criptovalute o frasi di recupero. Quando rileva una corrispondenza, sostituisce silenziosamente l'indirizzo copiato con uno controllato dall'attaccante, in modo che la vittima invii inconsapevolmente fondi al portafoglio sbagliato. Il malware prende di mira sei criptovalute attraverso più formati di indirizzo. Per Bitcoin, riconosce gli indirizzi legacy che iniziano con "1", gli indirizzi Pay-to-Script-Hash che iniziano con "3", gli indirizzi SegWit nativi che iniziano con "bc1q" e gli indirizzi Taproot che iniziano con "bc1p". Prende anche di mira gli indirizzi Tron che iniziano con "T" e gli indirizzi Monero che iniziano con "4" o "8". L'hijacking degli appunti per il furto di criptovalute non è limitato a Windows, con trojan Android come Rokarolla che utilizzano la stessa tecnica per reindirizzare i pagamenti crypto sui dispositivi mobili. Oltre agli indirizzi dei portafogli, il malware scansiona il contenuto degli appunti per frasi seed BIP39, le chiavi di recupero di 12 o 24 parole che concedono accesso completo a un portafoglio di criptovalute. Estrae anche chiavi private di Ethereum e chiavi Wallet Import Format (WIF) di Bitcoin. Catturare una frase seed o una chiave privata dà agli attaccanti il controllo completo sul portafoglio associato, non solo la possibilità di reindirizzare una singola transazione. Il malware include un modulo di sorveglianza che cattura cinque screenshot in un intervallo di dieci secondi, impacchettandoli per il caricamento sul server C2. Questo fornisce agli operatori un record visivo di ciò che la vittima stava facendo al momento dell'infezione, rivelando potenzialmente ulteriori credenziali, schede del browser aperte o dashboard finanziari. Un comando chiamato EVAL consente agli operatori C2 di spingere ed eseguire codice arbitrario su macchine infette, trasformando il ladro di criptovalute in uno strumento di accesso remoto di uso generale. Microsoft osserva che questa capacità significa che gli attori della minaccia possono adattare il comportamento del malware dopo il dispiegamento senza dover reinfettare il bersaglio. Il malware impiega più strati di evasione. L'installer iniziale è un eseguibile basato su Python offuscato con PyArmor e impacchettato con PyInstaller, rendendo difficile l'analisi statica. I payload JavaScript scaricati in C:UsersPublicDocuments utilizzano uno schema di offuscamento a doppio strato separato. Come misura anti-analisi, il malware controlla se il Task Manager è in esecuzione e termina se rileva il processo, un modo basilare ma efficace per frustrate indagini casuali. L'uso di Tor per le comunicazioni C2 riflette un cambiamento più ampio nell'infrastruttura del malware verso reti di anonimizzazione che resistono agli sforzi di rimozione. Il malware tradizionale che si basa su domini o indirizzi IP fissi può essere interrotto quando i difensori sequestrano quegli asset. I canali C2 basati su Tor sono sostanzialmente più difficili da chiudere perché gli indirizzi .onion non sono legati a nessun registrar o fornitore di hosting che possa essere costretto ad agire. Microsoft raccomanda diverse mitigazioni, a partire dalla disabilitazione di AutoRun e AutoPlay per prevenire l'esecuzione automatica quando le unità USB vengono collegate. Le policy di gruppo possono essere configurate per bloccare i file .lnk dall'esecuzione su supporti rimovibili, e limitare wscript.exe e cscript.exe attraverso politiche di controllo delle applicazioni impedisce l'esecuzione dei payload basati su JavaScript. Il monitoraggio della rete per le connessioni alla porta localhost 9050 può segnalare macchine in cui è stato installato il client Tor portatile. Il malware trasmesso tramite USB era in gran parte caduto fuori dai riflettori della sicurezza poiché lo storage cloud e gli strumenti di collaborazione hanno ridotto la dipendenza da unità fisiche. Ma gli attacchi alla catena di approvvigionamento e di sfruttamento della fiducia rimangono efficaci proprio perché prendono di mira comportamenti che gli utenti considerano di routine, sia che si tratti di collegare un'unità USB o installare un pacchetto da un repository familiare. Microsoft ha pubblicato indicatori di compromesso SHA-256, mappature delle tecniche MITRE ATT&CK e query di caccia KQL nel suo post sul blog per aiutare i team di sicurezza a rilevare infezioni esistenti. L'azienda afferma che Microsoft Defender rileva la famiglia di malware e il suo team di esperti Defender ha assistito nell'indagine. Microsoft non ha attribuito la campagna a un attore di minaccia specifico né ha stimato il numero di infezioni.