Microsoft ha rilevato una nuova minaccia informatica battezzata "Crypto Clipper", un malware auto-propagante che si diffonde tramite unit� USB e mira a sottrarre credenziali di criptovaluta. L'operazione malevola, attiva almeno da febbraio, si distingue per la sua natura "leggera" e per l'utilizzo della rete Tor al fine di celare le comunicazioni con i server degli aggressori, rendendo difficile il tracciamento.
Il processo di infezione prende il via quando la vittima inserisce un'unit� USB infetta. Il malware sfrutta i file di collegamento (.lnk) per nascondere la sua presenza, sostituendo i file originali con scorciatoie malevole che portano lo stesso nome. Al primo avvio di uno di questi collegamenti, Crypto Clipper si installa e verifica la presenza di altre unit� di archiviazione USB. Una volta rilevata una nuova unit�, il worm si copia autonomamente, replicando i file .lnk malevoli e stabilendo una task pianificata per monitorare future connessioni.
La logica dietro al furto: clipboard, screenshots e comunicazione anonima
Il cuore operativo di Crypto Clipper, spiegato da Microsoft, risiede nella sua capacit� di monitorare la clipboard del dispositivo. Il malware analizza il contenuto degli appunti alla ricerca di schemi riconducibili a indirizzi di wallet di criptovaluta o seed phrase, ovvero le frasi di recupero. Tra i dati ricercati figurano frasi seed BIP39 da 12 o 24 parole, chiavi private Ethereum, chiavi WIF di Bitcoin, e indirizzi Bitcoin di diverse tipologie (legacy, P2SH, Bech32, Taproot), oltre a indirizzi Tron e Monero.
