Microsoft scopre worm che sequestra portafogli di criptovalute e si diffonde tramite chiavette usb

Meccanismo di esfiltrazione e anonimato

Il ricorso a Tor consente all’attaccante di mantenere l’anonimato durante la ricezione delle credenziali rubate, rendendo più difficile risalire alla fonte dei trasferimenti illeciti. L’invio ripetuto di screenshot insieme alla copia del testo aumenta la probabilità che vengano catturate informazioni utili per la compromissione, come finestre aperte, note temporanee o altre chiavi d’accesso.

Sostituzione silenziosa degli indirizzi di pagamento

Il rischio principale non si limita alla sottrazione delle chiavi: se un utente copia un indirizzo di pagamento per trasferire fondi, il worm può intercettare quell’azione e sostituire l’indirizzo del beneficiario con uno controllato dall’attaccante prima che l’utente lo incolli. Il trasferimento viene così inviato al destinatario sbagliato senza alcun segnale visibile per l’utente, vanificando controlli di superficie come la verifica visiva rapida dell’indirizzo.

Propagazione tramite dispositivi rimovibili

La contaminazione avviene anche quando una USB pulita viene collegata al sistema infetto: il malware scansiona la chiavetta alla ricerca di file comuni — documenti di Word, fogli Excel, PDF — e li sostituisce con file shortcut che mantengono gli stessi nomi, infettando così il supporto. Una volta che la chiavetta infetta viene collegata a un altro computer, il ciclo può ripetersi e il worm può diffondersi ulteriormente nella rete.

Contromisure suggerite

Microsoft ha spiegato:

disabilitare la funzione AutoRun per i supporti rimovibili, impedire l’esecuzione di file .lnk dalle unità USB tramite criteri di gruppo e limitare l’esecuzione di host di script come wscript.exe e cscript.exe. Per i clienti di Microsoft Defender, è inoltre consigliabile eseguire query di hunting per rilevare attività correlate, compresi tentativi di connessione a un proxy Tor locale sulla porta 9050.

Nel contesto operativo quotidiano, queste indicazioni tecniche vanno integrate con buone pratiche di sicurezza: evitare di copiare seed phrase o private key in memoria condivisa, utilizzare portafogli hardware per conservare chiavi private, verificare gli indirizzi di pagamento tramite canali alternativi e isolare i dispositivi critici da supporti esterni non controllati.

Per le organizzazioni e gli operatori di mercato, l’incidenza di questo tipo di minaccia sottolinea la necessità di procedure di risposta agli incidenti orientate anche al mondo delle criptovalute, con registri di controllo delle operazioni finanziarie e segmentazione delle infrastrutture per limitare la diffusione laterale in caso di compromissione.

In sintesi

• La diffusione di malware che intercetta clipboard e sostituisce indirizzi aumenta il rischio sistemico per detentori di criptovalute, rendendo più probabili perdite di fondi e possibili impatti sulla fiducia degli investitori nel breve termine.
• Dal punto di vista degli investimenti, la crescente sofisticazione delle frodi digitali accentua il valore relativo di soluzioni custodiali sicure e di servizi professionali che offrono conservazione offline o assicurazione sui depositi in criptovalute.
• Per il tessuto produttivo italiano, l’accresciuta esposizione a queste tecniche richiede investimenti in formazione del personale, controlli di sicurezza dei dispositivi rimovibili e policy IT volte a ridurre il rischio operativo e la possibile responsabilità legale.