Microsoft Xác Định Phần Mềm Độc Hại Mới Nhắm Vào Địa Chỉ Ví Và Khóa Riêng Tư

TheNewsCryptoXuất bản vào 2026-06-19Cập nhật gần nhất vào 2026-06-19

Tóm tắt

Vào tháng 2/2026, Microsoft đã phát hiện một chiến dịch mã độc nhắm mục tiêu vào người dùng tiền điện tử, được đặt tên là Trojan/CryptoBandits.A. Mã độc này lây lan chủ yếu qua các file shortcut .lnk độc hại trên ổ USB. Sau khi xâm nhập hệ thống, phần mềm độc hại hoạt động như một "crypto clipper". Nó liên tục theo dõi nội dung clipboard để tìm kiếm các cụm từ khôi phục ví (12 hoặc 24 từ), khóa cá nhân Bitcoin/Ethereum và địa chỉ ví. Khi phát hiện, nó sẽ thay thế địa chỉ ví người dùng sao chép bằng địa chỉ do kẻ tấn công kiểm soát, đánh cắp tiền. Ngoài ra, mã độc còn chụp màn hình, thực thi lệnh từ xa và duy trì quyền truy cập qua các tác vụ đã lên lịch. Điểm đáng chú ý là mã độc không cần máy chủ điều khiển trực tiếp mà sử dụng Windows Script Host, ActiveX và một proxy Tor ẩn để giao tiếp. Microsoft khuyến nghị các tổ chức vô hiệu hóa tính năng auto-run, hạn chế script từ USB và giám sát các hành vi đáng ngờ như hoạt động proxy localhost:9050, theo dõi clipboard hay chụp màn hình bằng PowerShell. Chiến dịch này cho thấy mối đe dọa ngày càng tinh vi đối với lĩnh vực tiền điện tử.

Vào tháng 2 năm 2026, Microsoft Threat Intelligence và Microsoft Defender Experts đã phát hiện một cuộc tấn công crypto clipper. Đây là một chiến dịch được xây dựng trên nền tảng Windows. Phần mềm độc hại này khai thác người nắm giữ tiền điện tử thông qua việc chiếm quyền clipboard và tìm kiếm thông tin ví nhạy cảm. Những thông tin này đã được Microsoft báo cáo thông qua blog của họ.

Kẻ tấn công chủ yếu phát tán phần mềm độc hại này thông qua các tệp shortcut .lnk độc hại được phân phối trên ổ USB. Việc kích hoạt mã độc này dẫn đến việc phần mềm độc hại phát tán hai mô-đun. Một mô-đun lây lan phần mềm độc hại trên các hệ thống, trong khi mô-đun kia hoạt động như một công cụ cắt (clipper) và đánh cắp thông tin. Microsoft Defender Antivirus xác định mối đe dọa này là Trojan/CryptoBandits.A.

Khác với hầu hết các hoạt động phần mềm độc hại, hoạt động này không yêu cầu sử dụng trình cài đặt hoặc bất kỳ máy chủ điều khiển nào vì nó sử dụng Windows Script Host và công nghệ ActiveX để khởi chạy một proxy Tor được đóng gói. Sau đó, nó sử dụng proxy SOCKS5 trên máy tính bị nhiễm và kết nối với các máy chủ điều khiển, vốn chạy trên Dịch vụ Ẩn Tor (Tor Hidden Service).

Phần Mềm Độc Hại Chiếm Đoạt Thông Tin Ví Và Thay Đổi Địa Chỉ

Sau khi hệ thống bị nhiễm, phần mềm độc hại liên tục theo dõi mọi nội dung clipboard và tìm kiếm cụm khôi phục (recovery phrases), khóa riêng tư (private keys) và địa chỉ ví. Theo Microsoft, phần mềm độc hại nhắm mục tiêu chính xác vào cụm khôi phục 12 từ và 24 từ, khóa riêng tư Bitcoin và khóa riêng tư Ethereum. Nó thay thế các địa chỉ ví đã sao chép bằng những địa chỉ do kẻ tấn công kiểm soát trước khi người dùng hoàn thành giao dịch của họ.

Phần mềm độc hại chụp ảnh màn hình và gửi chúng qua các kết nối Tor, điều này cho phép kẻ tấn công có thêm thông tin về số dư ví và hoạt động của người dùng. Ngoài ra, Microsoft cho biết phần mềm độc hại có khả năng thực thi mã từ xa, cho phép kẻ tấn công có thể gửi các lệnh bổ sung trong khi đảm bảo sự tồn tại lâu dài thông qua việc sử dụng các tác vụ được lên lịch (scheduled tasks) và mã hóa các phần độc hại của phần mềm độc hại.

Các nhà nghiên cứu đã xác định được một số dấu hiệu bị xâm phạm, bao gồm việc thực thi JavaScript đáng ngờ, hoạt động proxy localhost:9050, việc chụp ảnh màn hình dựa trên PowerShell và hành vi giám sát clipboard. Microsoft khuyến nghị các tổ chức nên tắt các tính năng tự động chạy (auto-run). Họ cũng nên hạn chế trình thông dịch script và các shortcut có thể thực thi từ ổ USB, đồng thời giám sát mọi hoạt động đáng ngờ liên quan đến điều này. Chiến dịch phần mềm độc hại này nhấn mạnh sự tăng trưởng liên tục của việc sử dụng tiền điện tử trong giới nhà đầu tư và người dùng.

Các Tin Tức Nổi Bật Về Tiền Điện Tử:

Ethereum Foundation Đối Mặt Với Một Lần Rời Đi Nữa Khi Hsiao-Wei Wang Từ Chức

TagsBlockchainCryptoCryptocurrencyMalwareMicrosoftWallet

Câu hỏi Liên quan

QTheo báo cáo của Microsoft, mã độc CryptoBandits.A chủ yếu lây lan qua phương thức nào?

AMã độc này chủ yếu lây lan qua các tệp lối tắt .lnk độc hại được phân phối trên ổ đĩa USB.

QMã độc này hoạt động như thế nào để đánh cắp tiền điện tử của nạn nhân?

AMã độc liên tục theo dõi nội dung clipboard, tìm kiếm cụm từ khôi phục (12 hoặc 24 từ), khóa riêng tư Bitcoin/Ethereum và địa chỉ ví. Khi phát hiện, nó sẽ thay thế địa chỉ ví đã sao chép bằng địa chỉ do kẻ tấn công kiểm soát trước khi người dùng hoàn tất giao dịch.

QCông nghệ nào được mã độc sử dụng để kết nối với máy chủ điều khiển mà không cần cài đặt phần mềm cụ thể?

AMã độc sử dụng Windows Script Host và công nghệ ActiveX để khởi chạy một proxy Tor được đóng gói sẵn. Sau đó, nó sử dụng proxy SOCKS5 trên máy tính bị nhiễm để kết nối đến các máy chủ điều khiển chạy trên Tor Hidden Service.

QNgoài việc đánh cắp thông tin từ clipboard, mã độc còn có khả năng độc hại nào khác?

ANgoài đánh cắp thông tin, mã độc còn có khả năng chụp màn hình, thực thi mã từ xa, đảm bảo sự tồn tại lâu dài trên hệ thống thông qua các tác vụ đã lên lịch và mã hóa các phần độc hại của chính nó.

QMicrosoft đưa ra những khuyến nghị nào để phòng chống loại mã độc này?

AMicrosoft khuyến nghị các tổ chức nên vô hiệu hóa tính năng autorun, hạn chế thực thi các tập lệnh và lối tắt thực thi từ ổ USB, đồng thời giám sát mọi hoạt động đáng ngờ liên quan đến hành vi theo dõi clipboard hoặc proxy localhost:9050.

Nội dung Liên quan

Swift sẵn sàng cho các thử nghiệm thanh toán token hóa thực tế với sổ cái blockchain cùng 17 ngân hàng toàn cầu

Swift đã chuyển sổ cái dựa trên blockchain từ giai đoạn phát triển sang triển khai thực tế. 17 ngân hàng toàn cầu trên sáu châu lục đang chuẩn bị thí điểm thanh toán xuyên biên giới bằng cách sử dụng tiền gửi được mã hóa (tokenized deposits). Đây là trường hợp sử dụng trực tiếp đầu tiên của Swift cho sổ cái này, cho phép các ngân hàng tham gia cung cấp thanh toán xuyên biên giới 24/7 trong khi vẫn tiếp tục quyết toán giao dịch thông qua cơ sở hạ tầng tài chính hiện có. Sáng kiến này được thiết kế để cải thiện tính linh hoạt thanh toán và quản lý thanh khoản mà không thay đổi các khuôn khổ tuân thủ, quản lý rủi ro và kiểm soát vốn có của hệ thống ngân hàng toàn cầu. Nó đánh dấu xu hướng áp dụng ngày càng tăng của các tổ chức vào công nghệ tài sản kỹ thuật số được quản lý, thay vì các mạng lưới thanh toán blockchain công cộng. Không giống nhiều sáng kiến thanh toán blockchain tập trung vào stablecoin công cộng, nền tảng của Swift được xây dựng xung quanh tiền gửi được mã hóa do ngân hàng phát hành, vẫn nằm trên sổ cái riêng của các ngân hàng tham gia. Sổ cái chung kết nối các hệ thống này, cho phép các tổ chức phối hợp thanh toán xuyên biên giới theo thời gian thực trong khi vẫn dựa trên các đường quyết toán và khuôn khổ quy định hiện có.

ambcrypto27 phút trước

Swift sẵn sàng cho các thử nghiệm thanh toán token hóa thực tế với sổ cái blockchain cùng 17 ngân hàng toàn cầu

ambcrypto27 phút trước

Sony Bank Tiến Hành Kế Hoạch Stablecoin Đô La Mỹ Sau Khi Nhận Được Phê Duyệt Có Điều Kiện Từ OCC

Sony Bank đã nhận được sự chấp thuận có điều kiện từ Văn phòng Kiểm soát Tiền tệ Hoa Kỳ (OCC) để thành lập Connectia Trust, một ngân hàng ủy thác quốc gia tập trung vào tài sản kỹ thuật số. Sự chấp thuận này đưa Tập đoàn Tài chính Sony tiến gần hơn tới việc ra mắt một stablecoin được hỗ trợ bằng đồng Đô la Mỹ thông qua công ty con dự kiến tại Mỹ. Connectia Trust, một công ty con sở hữu toàn bộ với số vốn ban đầu 40 triệu USD, dự kiến sẽ bắt đầu hoạt động vào năm 2027 sau khi nhận được phê duyệt cuối cùng từ OCC. Stablecoin được đề xuất sẽ duy trì tỷ lệ neo 1:1 với đồng USD và được Sony dự định sử dụng trong hệ sinh thái của mình cho các khoản thanh toán liên quan đến trò chơi điện tử, anime, đăng ký và các dịch vụ giải trí kỹ thuật số khác, với khách hàng Mỹ là người dùng chính. Việc OCC cấp phép ủy thác ngân hàng quốc gia cho phép các công ty như Sony cung cấp dịch vụ lưu ký tài sản kỹ thuật số, quản lý dự trữ và phát hành stablecoin dưới sự giám sát của liên bang. Sony tham gia cùng một số công ty tài sản kỹ thuật số khác như Ripple, Circle và Fidelity trong việc theo đuổi tư cách ngân hàng ủy thác liên bang, bất chấp một số tranh luận đang diễn ra trong cơ quan quản lý.

TheNewsCrypto3 giờ trước

Sony Bank Tiến Hành Kế Hoạch Stablecoin Đô La Mỹ Sau Khi Nhận Được Phê Duyệt Có Điều Kiện Từ OCC

TheNewsCrypto3 giờ trước

Giao dịch

Giao ngay
活动图片