Microsoft Xác Định Phần Mềm Độc Hại Mới Nhắm Vào Địa Chỉ Ví Và Khóa Riêng Tư

TheNewsCryptoXuất bản vào 2026-06-19Cập nhật gần nhất vào 2026-06-19

Tóm tắt

Vào tháng 2/2026, Microsoft đã phát hiện một chiến dịch mã độc nhắm mục tiêu vào người dùng tiền điện tử, được đặt tên là Trojan/CryptoBandits.A. Mã độc này lây lan chủ yếu qua các file shortcut .lnk độc hại trên ổ USB. Sau khi xâm nhập hệ thống, phần mềm độc hại hoạt động như một "crypto clipper". Nó liên tục theo dõi nội dung clipboard để tìm kiếm các cụm từ khôi phục ví (12 hoặc 24 từ), khóa cá nhân Bitcoin/Ethereum và địa chỉ ví. Khi phát hiện, nó sẽ thay thế địa chỉ ví người dùng sao chép bằng địa chỉ do kẻ tấn công kiểm soát, đánh cắp tiền. Ngoài ra, mã độc còn chụp màn hình, thực thi lệnh từ xa và duy trì quyền truy cập qua các tác vụ đã lên lịch. Điểm đáng chú ý là mã độc không cần máy chủ điều khiển trực tiếp mà sử dụng Windows Script Host, ActiveX và một proxy Tor ẩn để giao tiếp. Microsoft khuyến nghị các tổ chức vô hiệu hóa tính năng auto-run, hạn chế script từ USB và giám sát các hành vi đáng ngờ như hoạt động proxy localhost:9050, theo dõi clipboard hay chụp màn hình bằng PowerShell. Chiến dịch này cho thấy mối đe dọa ngày càng tinh vi đối với lĩnh vực tiền điện tử.

Vào tháng 2 năm 2026, Microsoft Threat Intelligence và Microsoft Defender Experts đã phát hiện một cuộc tấn công crypto clipper. Đây là một chiến dịch được xây dựng trên nền tảng Windows. Phần mềm độc hại này khai thác người nắm giữ tiền điện tử thông qua việc chiếm quyền clipboard và tìm kiếm thông tin ví nhạy cảm. Những thông tin này đã được Microsoft báo cáo thông qua blog của họ.

Kẻ tấn công chủ yếu phát tán phần mềm độc hại này thông qua các tệp shortcut .lnk độc hại được phân phối trên ổ USB. Việc kích hoạt mã độc này dẫn đến việc phần mềm độc hại phát tán hai mô-đun. Một mô-đun lây lan phần mềm độc hại trên các hệ thống, trong khi mô-đun kia hoạt động như một công cụ cắt (clipper) và đánh cắp thông tin. Microsoft Defender Antivirus xác định mối đe dọa này là Trojan/CryptoBandits.A.

Khác với hầu hết các hoạt động phần mềm độc hại, hoạt động này không yêu cầu sử dụng trình cài đặt hoặc bất kỳ máy chủ điều khiển nào vì nó sử dụng Windows Script Host và công nghệ ActiveX để khởi chạy một proxy Tor được đóng gói. Sau đó, nó sử dụng proxy SOCKS5 trên máy tính bị nhiễm và kết nối với các máy chủ điều khiển, vốn chạy trên Dịch vụ Ẩn Tor (Tor Hidden Service).

Phần Mềm Độc Hại Chiếm Đoạt Thông Tin Ví Và Thay Đổi Địa Chỉ

Sau khi hệ thống bị nhiễm, phần mềm độc hại liên tục theo dõi mọi nội dung clipboard và tìm kiếm cụm khôi phục (recovery phrases), khóa riêng tư (private keys) và địa chỉ ví. Theo Microsoft, phần mềm độc hại nhắm mục tiêu chính xác vào cụm khôi phục 12 từ và 24 từ, khóa riêng tư Bitcoin và khóa riêng tư Ethereum. Nó thay thế các địa chỉ ví đã sao chép bằng những địa chỉ do kẻ tấn công kiểm soát trước khi người dùng hoàn thành giao dịch của họ.

Phần mềm độc hại chụp ảnh màn hình và gửi chúng qua các kết nối Tor, điều này cho phép kẻ tấn công có thêm thông tin về số dư ví và hoạt động của người dùng. Ngoài ra, Microsoft cho biết phần mềm độc hại có khả năng thực thi mã từ xa, cho phép kẻ tấn công có thể gửi các lệnh bổ sung trong khi đảm bảo sự tồn tại lâu dài thông qua việc sử dụng các tác vụ được lên lịch (scheduled tasks) và mã hóa các phần độc hại của phần mềm độc hại.

Các nhà nghiên cứu đã xác định được một số dấu hiệu bị xâm phạm, bao gồm việc thực thi JavaScript đáng ngờ, hoạt động proxy localhost:9050, việc chụp ảnh màn hình dựa trên PowerShell và hành vi giám sát clipboard. Microsoft khuyến nghị các tổ chức nên tắt các tính năng tự động chạy (auto-run). Họ cũng nên hạn chế trình thông dịch script và các shortcut có thể thực thi từ ổ USB, đồng thời giám sát mọi hoạt động đáng ngờ liên quan đến điều này. Chiến dịch phần mềm độc hại này nhấn mạnh sự tăng trưởng liên tục của việc sử dụng tiền điện tử trong giới nhà đầu tư và người dùng.

Các Tin Tức Nổi Bật Về Tiền Điện Tử:

Ethereum Foundation Đối Mặt Với Một Lần Rời Đi Nữa Khi Hsiao-Wei Wang Từ Chức

TagsBlockchainCryptoCryptocurrencyMalwareMicrosoftWallet

Câu hỏi Liên quan

QTheo báo cáo của Microsoft, mã độc CryptoBandits.A chủ yếu lây lan qua phương thức nào?

AMã độc này chủ yếu lây lan qua các tệp lối tắt .lnk độc hại được phân phối trên ổ đĩa USB.

QMã độc này hoạt động như thế nào để đánh cắp tiền điện tử của nạn nhân?

AMã độc liên tục theo dõi nội dung clipboard, tìm kiếm cụm từ khôi phục (12 hoặc 24 từ), khóa riêng tư Bitcoin/Ethereum và địa chỉ ví. Khi phát hiện, nó sẽ thay thế địa chỉ ví đã sao chép bằng địa chỉ do kẻ tấn công kiểm soát trước khi người dùng hoàn tất giao dịch.

QCông nghệ nào được mã độc sử dụng để kết nối với máy chủ điều khiển mà không cần cài đặt phần mềm cụ thể?

AMã độc sử dụng Windows Script Host và công nghệ ActiveX để khởi chạy một proxy Tor được đóng gói sẵn. Sau đó, nó sử dụng proxy SOCKS5 trên máy tính bị nhiễm để kết nối đến các máy chủ điều khiển chạy trên Tor Hidden Service.

QNgoài việc đánh cắp thông tin từ clipboard, mã độc còn có khả năng độc hại nào khác?

ANgoài đánh cắp thông tin, mã độc còn có khả năng chụp màn hình, thực thi mã từ xa, đảm bảo sự tồn tại lâu dài trên hệ thống thông qua các tác vụ đã lên lịch và mã hóa các phần độc hại của chính nó.

QMicrosoft đưa ra những khuyến nghị nào để phòng chống loại mã độc này?

AMicrosoft khuyến nghị các tổ chức nên vô hiệu hóa tính năng autorun, hạn chế thực thi các tập lệnh và lối tắt thực thi từ ổ USB, đồng thời giám sát mọi hoạt động đáng ngờ liên quan đến hành vi theo dõi clipboard hoặc proxy localhost:9050.

Nội dung Liên quan

Việc Giảm Mạnh STRC Của Strategy Cho Thấy Rủi Ro Đằng Sau Các Sản Phẩm Tín Dụng Liên Kết Bitcoin

Việc cổ phiếu ưu đãi STRC của Strategy (công ty mẹ của MicroStrategy) giao dịch giảm mạnh dưới mệnh giá 100 USD đã làm nổi bật rủi ro đằng sau các sản phẩm tín dụng gắn với Bitcoin. Dù CEO Matt Cole mô tả đây là đợt "thanh lọc đòn bẩy" do bán ép chứ không phải sự kiện vỡ nợ cơ bản, sự sụt giảm vẫn cho thấy mức độ nhanh chóng mà đòn bẩy có thể làm lộ ra điểm yếu trong các công cụ liên quan đến chiến lược kho bạc Bitcoin. Sự kiện này nhấn mạnh rằng các sản phẩm tín dụng Bitcoin mang rủi ro khác biệt so với nắm giữ BTC trực tiếp hoặc cổ phiếu phổ thông, đặc biệt khi nhà đầu tư sử dụng vay mượn. Nó cũng phản ánh sự phức tạp ngày càng tăng của thị trường tài chính hóa các kho bạc Bitcoin, nơi sự tương tác giữa cổ phiếu ưu đãi, cam kết cổ tức, đòn bẩy và biến động giá Bitcoin có thể dẫn đến bán ép trong điều kiện thanh khoản căng thẳng. Bài học chính là một lời cảnh báo về rủi ro đòn bẩy và tính dễ tổn thương trong cấu trúc tài chính phức tạp, hơn là bằng chứng về khả năng trả nợ của công ty phát hành.

bitcoinist2 giờ trước

Việc Giảm Mạnh STRC Của Strategy Cho Thấy Rủi Ro Đằng Sau Các Sản Phẩm Tín Dụng Liên Kết Bitcoin

bitcoinist2 giờ trước

Tòa Án Tối Cao Australia Trao Thắng Lợi Lớn Cho ASIC Trong Vụ Án Sản Phẩm Yield Tiền Mã Hóa Block Earner

Tòa án Tối cao Úc đã phán quyết nhất trí ủng hộ Ủy ban Chứng khoán và Đầu tư Úc (ASIC) trong vụ kiện chống lại công ty Block Earner. Tòa án xác định sản phẩm "Earner" cố định lợi suất lịch sử của Block Earner là một sản phẩm tài chính và phái sinh, do đó yêu cầu công ty phải có Giấy phép Dịch vụ Tài chính Úc để cung cấp sản phẩm này. Vụ việc giờ sẽ được chuyển lại cho Tòa án Liên bang Toàn thể để xác định hình phạt. Phán quyết này rất quan trọng vì nó áp dụng luật dịch vụ tài chính truyền thống của Úc vào một sản phẩm tiền mã hóa hứa hẹn lợi suất. Nó thiết lập một tiền lệ rõ ràng rằng các sản phẩm cung cấp lợi nhuận có cấu trúc hoặc có đặc điểm kinh tế giống phái sinh có thể phải đáp ứng các yêu cầu cấp phép, bất kể được gắn nhãn là gì. Mặc dù sản phẩm "Earner" cụ thể này không còn được cung cấp, phán quyết cung cấp cho ASIC cơ sở pháp lý vững chắc cho các hành động tương tự trong tương lai, phù hợp với xu hướng toàn cầu của các cơ quan quản lý trong việc đưa các sản phẩm tiền mã hóa vào khuôn khổ quy định hiện hành. Đối với các công ty tiền mã hóa, bài học là cần xem xét kỹ lưỡng bản chất kinh tế của sản phẩm. Đối với người tiêu dùng, phán quyết nhắc nhở rằng các sản phẩm sinh lợi tiềm ẩn rủi ro và khác biệt so với việc nắm giữ tiền mã hóa thông thường. Phán quyết này vạch ra một ranh giới quy định rõ ràng hơn cho ngành công nghiệp tiền mã hóa tại Úc.

bitcoinist5 giờ trước

Tòa Án Tối Cao Australia Trao Thắng Lợi Lớn Cho ASIC Trong Vụ Án Sản Phẩm Yield Tiền Mã Hóa Block Earner

bitcoinist5 giờ trước

Blockchain.com Mở Rộng Truy Cập Cổ Phiếu Token Hóa Thông Qua Ondo Finance

Blockchain.com đã mở rộng khả năng tiếp cận cổ phiếu và ETF được mã hóa (tokenized) của Hoa Kỳ thông qua ví tiền điện tử của mình, nhờ vào quan hệ đối tác với Ondo Finance. Động thái này mang các tài sản trong thế giới thực được quản lý vào giao diện quen thuộc dành cho người dùng tiền điện tử đủ điều kiện, cho phép họ nắm giữ các sản phẩm truyền thống như cổ phiếu bên cạnh stablecoin và công cụ DeFi. Ondo Finance, một tên tuổi nổi bật trong thị trường tài sản thực được mã hóa (RWA), đóng vai trò trung tâm bằng cách cung cấp các sản phẩm tài chính quen thuộc dưới dạng token. Sự hợp tác này giải quyết thách thức về phân phối, đưa các tài sản được mã hóa trực tiếp đến người dùng ví tiền điện tử hiện có. Một khía cạnh quan trọng là mục tiêu phục vụ người dùng bên ngoài Hoa Kỳ, nơi việc tiếp cận thị trường vốn Mỹ có thể bị hạn chế. Giải pháp này cung cấp một lựa chọn thay thế mang tính bản địa hóa cho tiền điện tử, tích hợp vào cơ sở hạ tầng tài chính mà người dùng toàn cầu đã quen thuộc. Bối cảnh thị trường RWA đang trở nên cạnh tranh hơn, với nhiều nền tảng tranh giành để trở thành cổng kết nối chính cho tài sản truyền thống được mã hóa. Blockchain.com và Ondo đặt cược rằng việc tích hợp liền mạch vào ví tiền điện tử có thể cung cấp trải nghiệm đơn giản và đáng tin cậy, giúp thu hẹp khoảng cách so với các sản phẩm môi giới truyền thống.

bitcoinist7 giờ trước

Blockchain.com Mở Rộng Truy Cập Cổ Phiếu Token Hóa Thông Qua Ondo Finance

bitcoinist7 giờ trước

CPU trở lại bàn đàm phán, một vở kịch "thăng tiến" trị giá 1700 tỷ USD bắt đầu

CPU đang trở lại trung tâm sân khấu trong kỷ nguyên AI, dẫn dắt một cơ hội thị trường trị giá 1700 tỷ USD vào năm 2030. Việc chuyển dịch từ huấn luyện sang suy luận (inference) và AI Agent đã làm thay đổi hoàn toàn vai trò của CPU. Trong các tác vụ Agent phức tạp, CPU hiện đảm nhận hơn 70% khối lượng công việc, xử lý luồng điều khiển, gọi công cụ và quản lý bộ nhớ (KV Cache). Tỷ lệ phối hợp GPU:CPU đang thu hẹp từ 1:8 xuống khoảng 1:4, thậm chí 1:1 trong một số trường hợp. Nhu cầu này dẫn đến việc thiếu hụt nguồn cung và lần tăng giá đầu tiên sau hơn một thập kỷ cho server CPU của Intel và AMD, với mức tăng 10-15%. Thị trường CPU server dự kiến tăng từ khoảng 300 tỷ USD năm 2025 lên 1700 tỷ USD vào năm 2030, được thúc đẩy bởi ba phân khúc: điện toán đám mây truyền thống, CPU head-node cho cụm AI và CPU node độc lập cho Agent – một thị trường hoàn toàn mới. NVIDIA cũng đã tham gia cuộc chơi với CPU Vera dựa trên kiến trúc ARM, nhấn mạnh tầm quan trọng chiến lược của CPU. Tại Trung Quốc, các công ty như Hygon (Hải Quang) và Huawei đang nắm bắt cơ hội từ làn sóng nhu cầu này và chương trình thay thế nhập khẩu (xinchuang), với hệ sinh thái phần mềm đang trưởng thành nhanh chóng.

marsbit7 giờ trước

CPU trở lại bàn đàm phán, một vở kịch "thăng tiến" trị giá 1700 tỷ USD bắt đầu

marsbit7 giờ trước

TechFlow Tình Báo: Giám đốc AI của AMD công khai chỉ trích Claude Code 'ngày càng ngốc nghếch và lười biếng', Trump tuyên bố eo biển Hormuz sẽ ngừng bắn toàn diện nhưng vẫn còn 80 quả thủy lôi chờ dọn

TechFlow Intelligence: Tóm tắt tin tức công nghệ & tài chính ngày... * **AI & Mô hình lớn:** Giám đốc AI của AMD chỉ trích Claude Code trở nên "kém thông minh và lười biếng". Z.AI (Trung Quốc) ra mắt GLM-5.2, tuyên bố ngang bằng Claude Opus mà không dùng chip NVIDIA. SK Telecom (Hàn Quốc) bị điều tra về chuyển giao công nghệ với Anthropic. DeepSeek gây sốt trên Zhihu với tính năng đa phương tiện mới. Gemini bị chỉ trích trên Reddit vì đưa lời khuyên sai trong tình huống lừa đảo. * **Chip & Phần cứng:** MIT tự viết hệ điều hành để nghiên cứu chip. Mỹ cáo buộc máy quang khắc EUV tối tân của ASML có thể đã tới Trung Quốc, ASML phủ nhận. Amazon đàm phán bán chip AI tự thiết kế ra bên ngoài. iPhone phiên bản kỷ niệm 20 năm của Apple dự kiến dùng quy trình N2P độc quyền từ TSMC. * **An ninh & Công ty:** Phát hiện 10.000 kho GitHub phân phối phần mềm độc hại. Apple vá lỗ hổng nghe lén nghiêm trọng trên tai nghe Beats. Nhiều kỹ sư Amazon bị điều tra nội bộ vì chỉ trích việc mở rộng trung tâm dữ liệu AI. Microsoft và Amazon có thể đối mặt với điều tra chống độc quyền khắt khe từ EU. * **Web3 / Crypto:** 0G Labs đạt cột mốc 100 tỷ token suy luận AI phi tập trung. Sàn Hàn Quốc Bithumb niêm yết RE, trong khi Upbit hủy niêm yết KERNEL. * **Thị trường & Địa chính trị:** Cổ phiếu bán dẫn Mỹ tăng mạnh, Intel tăng 10.6%, trong khi SpaceX giảm. Eo biển Hormuz chính thức mở cửa theo thỏa thuận Mỹ-Iran, nhưng hiệp hội vận tải dầu cảnh báo vẫn còn khoảng 80 quả thủy lôi trong luồng chính. Gần 80 tàu chở dầu chờ tín hiệu an toàn để xuất phát. Iran hoãn chuyến công du tới Thụy Sĩ, làm dấy lên nghi ngờ về tiến trình hòa bình.

marsbit7 giờ trước

TechFlow Tình Báo: Giám đốc AI của AMD công khai chỉ trích Claude Code 'ngày càng ngốc nghếch và lười biếng', Trump tuyên bố eo biển Hormuz sẽ ngừng bắn toàn diện nhưng vẫn còn 80 quả thủy lôi chờ dọn

marsbit7 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai
活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow