Microsoft ha reso pubblica il 17 giugno 2026 una campagna attiva dal febbraio scorso. Il twist: un comando EVAL trasforma lo stealer finanziario in piattaforma di accesso remoto. La famiglia, rilevata come Trojan:Win32/CryptoBandits.A, combina propagazione fisica via USB, anonimizzazione Tor e capacità di esecuzione remota in un payload script-based senza installer tradizionale.
- Campagna tracciata da febbraio 2026, divulgata da Microsoft Defender Experts a giugno
- Propagazione worm-like via file LNK su USB: occulta documenti DOC/XLSX/PDF e li sostituisce con shortcut infetti
- Client Tor portabile rinominato "ugate.exe" con proxy SOCKS5 su localhost:9050 (127.0.0.1)
- Comando EVAL dal C2 esegue JScript arbitrario a runtime, trasformando lo stealer in backdoor leggera
- Sostituzione indirizzi crypto con logica tipo-specifica per sei blockchain diverse
Il contagio fisico: da USB a sistema
Il vettore d'accesso sfrutta file shortcut (.LNK) malevoli su dispositivi USB rimovibili. Eseguito il payload, il malware scansiona la chiavetta alla ricerca di documenti DOC, XLSX e PDF, nasconde i file originali e crea nuovi shortcut con nome identico che puntano al componente worm.
Due componenti convivono: il worm per propagazione e il clipper/stealer per furto crypto. Entrambi si installano come scheduled task con trigger indefiniti. Microsoft documenta due task distinti: uno per la diffusione su nuovi dispositivi USB, l'altro per l'attività di sottrazione dati. L'esecuzione è script-based, senza installer tradizionale.
Tor locale: il traffico C2 che elude il monitoraggio DNS
Il malware estrae ed esegue un binario rinominato "ugate.exe" in finestra nascosta. Attende circa 60 secondi per il bootstrap della rete onion, quindi registra la vittima presso il server di comando attraverso un hidden service. Il traffico transita via proxy SOCKS5 su localhost:9050 (127.0.0.1).
"deploys a portable Tor client, routes traffic through a local SOCKS5 proxy, and blends data theft with remote code execution, turning a financially motivated stealer into a lightweight backdoor" — Microsoft Defender Security Research Team, via The Hacker News
La fonte non specifica se il traffico localhost:9050 sia rilevabile da strumenti di monitoraggio endpoint. La risoluzione DNS dei domini C2 avviene internamente al client Tor, riducendo la visibilità sui resolver di rete tradizionali.
Il furto crypto come operazione mirata
Il componente stealer implementa polling della clipboard a intervalli di circa 500 millisecondi. Target: seed phrase BIP39 di 12 o 24 parole, chiavi private Ethereum, chiavi Bitcoin in formato WIF.
La sostituzione degli indirizzi wallet segue regole di matching parziale specifiche per tipo:
- BTC legacy (inizio "1", 32-36 caratteri): preserva primi 2 caratteri
- BTC P2SH (inizio "3"): preserva primi 2 caratteri
- BTC Taproot ("bc1p"): sostituisce ultimo carattere
- BTC Bech32 ("bc1q"): sostituisce ultimo carattere
- Tron (34 caratteri, inizio "T"): mantiene primi 2 caratteri
- Monero ("4" o "8", 95 caratteri): indirizzo fisso predefinito
Il modulo esfiltra 5 screenshot catturati a 10 secondi di distanza attraverso lo stesso tunnel Tor.
Da clipper a backdoor: il comando EVAL
La funzione checkC2Command con metodo EVAL esegue qualsiasi payload JScript depositato nel file 'cfile' a runtime. Questo meccanismo, documentato da Microsoft, trasforma uno stealer con ambito circoscritto in piattaforma di accesso remoto generica.
"This malware family shows how lightweight, script-based stealers can deliver outsized impact when paired with anonymized communications and runtime tasking", scrive Microsoft Threat Intelligence nel blog ufficiale. La fonte non specifica se il tasking dinamico sia stato osservato in campo o solo dimostrato tecnicamente.
ANALISI EDITORIALE — Cosa questa campagna indica sul modello di minaccia
La sezione seguente è analisi editoriale. Le inferenze sono marcate come tali.
Se confermato in campo, il meccanismo EVAL suggerisce una progettazione modulare: lo stesso payload base può mutare funzione senza ridistribuzione. La combinazione di worm USB e tasking remoto potrebbe indicare, secondo l'analisi di DeafNews, un operatore che privilegia flessibilità operativa rispetto alla specializzazione monofunzionale.
La raccomandazione Microsoft sul "behavioral hunting" — correlare attività script con segnali di rete, clipboard e processi — assume visibilità integrata endpoint-rete che molte organizzazioni non possiedono. Il costo operativo di questa correlazione non è quantificato nella fonte. Per i difensori con tooling frammentato, il traffico localhost:9050 rappresenta un gap di rilevamento strutturale, non solo tecnico.
La propagazione fisica via USB, in un'epoca di cloud-first policies, potrebbe sembrare anacronistica. La sua persistenza suggerisce che i vettori offline conservano efficacia in ambienti dove i controlli di rete sono maturi ma quelli di endpoint rimediabili restano porosi.
Cosa cambia
Per le organizzazioni che gestiscono asset crittografici, la campagna documenta tre elementi di rilievo:
- I controlli sui dispositivi USB rimovibili restano pertinenti anche in infrastrutture moderne
- Il monitoraggio del traffico localhost e dei proxy SOCKS interni è necessario complemento al filtraggio DNS esterno
- La verifica visiva degli indirizzi wallet — confronto carattere per carattere — è l'unica difesa contro la sostituzione parziale documentata
Microsoft non ha divulgato numero di vittime, entità dei fondi dirottati, né origine geografica dell'operatore. Il meccanismo di distribuzione iniziale dei dispositivi USB infetti non è dettagliato nella fonte.
Fonti e limiti
Questo articolo si basa esclusivamente sull'advisory Microsoft Security Blog e sulle sue citazioni riportate da testate editoriali; non sono disponibili fonti primarie indipendenti. The Hacker News, IBTimes e TheWinCentral hanno riprodotto o parafrasato il contenuto Microsoft senza aggiunta di rilevamenti propri. I dati tecnici provengono dall'advisory del 17 giugno 2026.
Informazioni non verificabili dalla fonte: numero esatto di vittime, entità economica dei fondi dirottati, attribuzione dell'attore minaccioso, presenza di un nome di gruppo threat actor, campagne precedenti dello stesso operatore.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/microsoft-details-windows-clipper.html
- https://www.microsoft.com/en-us/security/blog/2026/06/17/crypto-clipper-uses-tor-worm-like-propagation-for-persistence-control/
- https://thewincentral.com/microsoft-crypto-clipper-malware-tor-worm-backdoor/
- https://x.com/MsftSecIntel/status/2067386600670089699
- https://www.ibtimes.sg/microsoft-uncovers-cryptobandits-malware-using-tor-backdoor-steal-cryptocurrency-wallets-windows-88174
- https://thehackernews.com/
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
- https://thehackernews.com/search/label/Threat%20Intelligence
- https://thehackernews.com/search/label/Vulnerability
- https://thehackernews.com/search/label/Cyber%20Attack