Microsoft Cảnh báo Phần mềm độc hại mới Chiếm quyền Clipboard ví tiền mã hóa

Microsoft Threat Intelligence và các chuyên gia Microsoft Defender cho biết vào ngày 17 tháng 6 rằng một biến thể phần mềm độc hại mới đang lây nhiễm các thiết bị Windows kể từ tháng 2 năm 2026. Mối đe dọa, được gọi là “clipper” và hiện đã được Microsoft Defender Antivirus gắn cờ là “Trojan: Win32/CryptoBandits.A”, được thiết kế để rút tiền điện tử của người dùng bằng cách theo dõi hoạt động trên bảng nhớ tạm. Phần mềm độc hại hoạt động bằng cách giám sát bảng nhớ tạm khoảng mỗi 500 mili giây và âm thầm hoán đổi địa chỉ ví tiền điện tử bằng các địa chỉ do kẻ tấn công kiểm soát khi người dùng sao chép và dán chi tiết giao dịch. Phương thức tấn công dựa trên bảng nhớ tạm này khai thác thói quen phổ biến khi sao chép địa chỉ ví trong các giao dịch tiền điện tử, cho phép kẻ tấn công chuyển hướng tiền mà nạn nhân không hề hay biết.

Microsoft Xác định Phương thức Phân phối Phần mềm độc hại

Theo báo cáo của Microsoft, chiến dịch bắt đầu với các tệp lối tắt độc hại (.lnk) được phân phối trên ổ đĩa lưu trữ USB. Phần mềm độc hại gộp hai thành phần: một thành phần kiểu sâu (worm) tự lan truyền và một trình đánh cắp (stealer) thu thập dữ liệu ví. Thành phần sâu ẩn các tài liệu hợp lệ trên một thiết bị USB và thay thế chúng bằng các lối tắt được ngụy trang, để khi người dùng mở một tệp trông quen thuộc, thực tế là đang khởi chạy phần mềm độc hại mà không nhận ra.

Phần mềm độc hại cũng săn lùng cụm seed phrase và khóa riêng, là các thông tin để mở khóa ví crypto. Để duy trì khả năng tồn tại, nó chạy trong một cửa sổ bị che giấu, thiết lập tác vụ theo lịch và loại trừ các tệp của chính nó khỏi quá trình quét của Defender. Phần mềm độc hại kiểm tra xem Trình quản lý tác vụ (Task Manager) có đang mở không và tắt đi nếu có, đây là chiến thuật chống phân tích nhằm né tránh bất kỳ ai đang điều tra thiết bị.

CryptoBandits Dùng Hạ tầng Dựa trên Tor

Microsoft cho biết CryptoBandits triển khai một máy khách Tor dạng di động và định tuyến lưu lượng thông qua một proxy cục bộ để đến máy chủ ẩn danh lệnh và điều khiển (command-and-control). Thiết kế này giúp nó kết hợp đánh cắp dữ liệu với thực thi mã từ xa, biến một trình đánh cắp “hút tiền” thành một backdoor nhẹ, có thể chạy các lệnh tiếp theo do kẻ tấn công đưa ra. Hạ tầng dựa trên Tor cho phép phần mềm độc hại duy trì các kênh liên lạc kín đáo mà không cần dựa vào trình cài đặt truyền thống hay các máy chủ bị lộ.

Câu hỏi thường gặp

Phần mềm độc hại CryptoBandits mà Microsoft phát hiện là gì?
CryptoBandits, được Microsoft Defender Antivirus gắn cờ là “Trojan: Win32/CryptoBandits.A”, là một biến thể phần mềm độc hại theo dõi hoạt động trên bảng nhớ tạm khoảng mỗi 500 mili giây và hoán đổi địa chỉ ví tiền điện tử bằng các địa chỉ do kẻ tấn công kiểm soát. Microsoft Threat Intelligence và Microsoft Defender Experts cho biết vào ngày 17 tháng 6 rằng nó đã lây nhiễm các thiết bị Windows kể từ tháng 2 năm 2026.

CryptoBandits lây lan sang thiết bị như thế nào?
Theo báo cáo của Microsoft, phần mềm độc hại lan truyền qua các tệp lối tắt (.lnk) độc hại được phân phối trên ổ đĩa lưu trữ USB. Thành phần sâu ẩn các tài liệu hợp lệ trên các thiết bị USB và thay thế chúng bằng các lối tắt được ngụy trang, khiến phần mềm độc hại được khởi chạy khi người dùng mở một tệp trông quen thuộc.

CryptoBandits sử dụng hạ tầng nào để liên lạc?
Microsoft cho biết CryptoBandits triển khai một máy khách Tor dạng di động và định tuyến lưu lượng thông qua một proxy cục bộ để đến máy chủ ẩn danh lệnh và điều khiển. Hạ tầng dựa trên Tor này cho phép phần mềm độc hại duy trì các kênh liên lạc kín đáo và thực thi các lệnh từ xa.