Attaccanti sfruttano Discord per diffondere un hijacker degli appunti che ruba indirizzi di wallet

I gamer e gli streamer su Discord sono nel mirino di un nuovo malware che ruba criptovalute in modo silente. Questo clipboard hijacker monitora gli appunti del tuo computer e sostituisce automaticamente gli indirizzi di wallet copiati con quelli controllati dai criminali. Soluzione rapida: verifica sempre manualmente gli indirizzi prima di incollare e usa un antivirus aggiornato. In questo modo eviti perdite irreversibili.

La minaccia si nasconde dietro tool falsi per streaming o sicurezza, condivisi nei server Discord dedicati a gaming, gambling e crypto. I truffatori si fingono sviluppatori fidati, offrendo file come Pro.exe per “proteggere” i wallet durante le live. Una volta installato, il programma agisce nell’ombra, prosciugando fondi senza lasciare tracce evidenti.

Questo attacco sfrutta la fiducia nelle community online, dove gli utenti scaricano file senza sospetti. Milioni di transazioni crypto avvengono ogni giorno tramite copia-incolla, rendendo questo metodo perfetto per i cybercriminali. Proteggiti installando software anti-malware robusto e controllando sempre i link condivisi su Discord.

Come funziona l’attacco su Discord

I malviventi infiltrano server popolari, costruendo relazioni con i membri. Si presentano come esperti di tool per streamer, promettendo soluzioni per gestire wallet in sicurezza durante le sessioni live. Il file infetto, camuffato da utility utile, viene inviato privatamente.

Una volta eseguito, il malware si attiva senza finestre visibili. Persiste all’avvio del sistema e scandaglia gli appunti ogni pochi secondi. Rileva pattern di indirizzi crypto come Bitcoin, Ethereum, Solana, Dogecoin, Litecoin e Tron, sostituendoli istantaneamente con versioni controllate dagli attaccanti.

Le vittime incolla l’indirizzo modificato in exchange o wallet, trasferendo fondi al ladro. Il furto è irreversibile grazie alla natura blockchain: una volta confermata la transazione, i soldi sono persi per sempre.

Azioni immediate per la sicurezza:

• Non scaricare file da sconosciuti su Discord.
• Usa wallet hardware per transazioni sensibili.
• Abilita l’autenticazione a due fattori ovunque.
• Scannerizza il PC con tool anti-malware come Combo Cleaner o equivalenti.

Questo tipo di campagna è in crescita, con tracce di furti già visibili sulle blockchain. Gli streamer, spesso distratti durante le live, sono prede ideali: copiano stringhe lunghe senza ricontrollarle.

Impatto sulla community crypto e gaming

Discord conta milioni di utenti in server tematici, dove si condividono consigli su crypto e gaming. Qui i criminali prosperano, abusando della fiducia. Non si tratta di un malware generico: è specializzato nel furto di crypto, ignorando altri dati.

Le perdite sono significative. Transazioni da centinaia a migliaia di euro svaniscono in un paste errato. Gli attaccanti usano wallet multipli per confondere le tracce, ma le blockchain rivelano i flussi illeciti.

Per i principianti: il clipboard hijacking è come un ladro che cambia l’indirizzo sulla tua busta prima che la imbuchi. Non lo noti fino al momento del danno. La prevenzione è semplice: doppio controllo visivo degli indirizzi e tool di verifica automatica.

Molti exchange ora integrano checker per indirizzi sospetti. App come MetaMask avvertono di potenziali hijack. Adottali per layer extra di protezione.

Consigli pratici per evitare il furto

• Verifica manuale: Confronta il primo e l’ultimo carattere dell’indirizzo copiato con l’originale.
• Usa app dedicate: Tool come clipboard manager con history ti permettono di rivedere versioni precedenti.
• Isola le transazioni: Usa un browser dedicato solo per crypto, con estensioni anti-malware.
• Educati sulla community: Segnala utenti sospetti nei server Discord.

Queste abitudini riducono il rischio a zero. La chiave è la vigilanza: un secondo in più salva i tuoi fondi.

Approfondimento tecnico

Ora entriamo nei dettagli per utenti avanzati.

Meccanismo di infezione

Il file eseguibile, spesso Pro.exe o simili, crea una cartella in %APPDATA%\CryptoClipboardGuard. Si registra nel registro di Windows sotto la chiave Run per l’autostart. Include un runtime Python incorporato via PyInstaller, eseguendosi su macchine senza Python.

Non genera traffico C2, evadendo rilevamenti network-based. Consuma risorse minime, persistendo settimane.

Logica di hijacking

Loop principale: controlla clipboard 3 volte al secondo. Usa regex base64-encoded per matchare formati wallet:

• Bitcoin: bc1q o 1/3/…
• Ethereum: 0x…
• Solana: base58…

Su match, sostituisce con indirizzo attacker preimpostato e logga in activity.log (es. “Swapped BTC: victim_addr -> attacker_addr”).

Esempio pseudocodice:

while True:
    clipboard = get_clipboard()
    if matches_crypto_pattern(clipboard):
        attacker_addr = get_attacker_addr_for_coin(clipboard)
        set_clipboard(attacker_addr)
        log_swap(clipboard, attacker_addr)
    sleep(0.33)

Analisi bytecode

Obfuscato per eludere signature-based detection. Nomi file fuorvianti come “peeek.exe” mimano tool legit. Tracce su blockchain mostrano wallet con fondi multipli crypto.

Rilevamento e rimozione

Scanner AV lo flaggano come Trojan.Generic. Per cleanup:

1. Elimina %APPDATA%\CryptoClipboardGuard.
2. Pulisci registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
3. Esegui full scan con tool come ESET o Kaspersky.

Per dev: monitora clipboard changes via Windows API (GetClipboardData, SetClipboardData). Implementa hook personalizzati per alert su crypto patterns.

Evoluzione della minaccia

Simile a Skuld Stealer o AsyncRAT su Discord, ma focalizzato su hijack. Attaccanti abusano invite links scaduti per reindirizzi malevoli. Trend 2025: aumento 30% incidenti crypto su piattaforme social.

Per esperti: Analizza con IDA Pro o Ghidra il PyInstaller unpack. Estrai regex per IOC. Contribuisci a threat intel condividendo sample.

Questa campagna evidenzia vulnerabilità Discord: API aperte facilitano bot malevoli. Piattaforme devono rafforzare verifiche file.

Proteggi te stesso e la community: resta informato e diffondi awareness. Con queste conoscenze, l’hijacker perde potere.