Microsoft ha descritto una campagna di malware Windows legata alle criptovalute che punta a rubare dati dal clipboard e a sostituire gli indirizzi dei wallet durante le transazioni. Questa tipologia di minaccia è nota come clipper malware e agisce in modo silenzioso intercettando ciò che l’utente copia e incolla, con l’obiettivo principale di dirottare pagamenti in crypto verso indirizzi controllati dagli attaccanti.
La campagna, attiva dal 2026, combina furto di dati, persistenza e funzionalità da backdoor leggera, rendendo più complessa l’individuazione tramite firme statiche.
Vettore di infezione: USB e file LNK
Il vettore di infezione si basa su dispositivi USB e file di scelta rapida LNK. Quando una vittima apre il collegamento, viene avviato un componente tipo worm che verifica se il sistema è già compromesso e, in caso contrario, scarica il payload da un server remoto. Il malware scansiona la chiavetta alla ricerca di documenti comuni come DOC, XLSX e PDF, li nasconde e crea nuovi file LNK con gli stessi nomi. In questo modo l’utente pensa di aprire un documento ma in realtà esegue la catena malevola, facilitando la propagazione su altre unità rimovibili.
Persistenza ed evasione
Una volta attivo, il worm imposta attività pianificate per garantire persistenza sia al modulo di diffusione sia al modulo stealer. Il clipper utilizza Windows Script Host tramite WScript e logica basata su ActiveXObject per interagire con il sistema operativo. Per eludere controlli e analisi, può interrompere l’esecuzione se rileva processi come Task Manager tra quelli in esecuzione.
Comunicazione C2 via Tor e furto dati dal clipboard
La fase più caratteristica riguarda la comunicazione con il command and control tramite rete Tor. Il malware avvia un binario Tor rinominato in una finestra nascosta, crea un identificativo univoco della vittima e lo registra sul server. Da quel momento entra in un ciclo continuo in cui interroga periodicamente il C2 e, con frequenza elevata, monitora il clipboard circa ogni 500 millisecondi per estrarre dati sensibili come seed phrase e chiavi private. Oltre alla sostituzione degli indirizzi dei wallet, può esfiltrare screenshot attraverso Tor e, se riceve un comando specifico, eseguire codice fornito dagli attaccanti a runtime.
Difesa e mitigazioni consigliate
Dal punto di vista difensivo, è fondamentale puntare su rilevamenti comportamentali, osservando uso anomalo di wscript.exe e cscript.exe, avvii sospetti di cmd.exe, PowerShell o curl e segnali di screen capture.
- Disattivare AutoRun e AutoPlay
- Bloccare l’esecuzione di LNK da unità rimovibili tramite criteri di gruppo
- Monitorare comportamenti legati a clipboard e screenshot su postazioni che gestiscono flussi finanziari