Microsoft Xác Định Phần Mềm Độc Hại Mới Nhắm Vào Địa Chỉ Ví Và Khóa Riêng Tư

TheNewsCryptoXuất bản vào 2026-06-19Cập nhật gần nhất vào 2026-06-19

Tóm tắt

Vào tháng 2/2026, Microsoft đã phát hiện một chiến dịch mã độc nhắm mục tiêu vào người dùng tiền điện tử, được đặt tên là Trojan/CryptoBandits.A. Mã độc này lây lan chủ yếu qua các file shortcut .lnk độc hại trên ổ USB. Sau khi xâm nhập hệ thống, phần mềm độc hại hoạt động như một "crypto clipper". Nó liên tục theo dõi nội dung clipboard để tìm kiếm các cụm từ khôi phục ví (12 hoặc 24 từ), khóa cá nhân Bitcoin/Ethereum và địa chỉ ví. Khi phát hiện, nó sẽ thay thế địa chỉ ví người dùng sao chép bằng địa chỉ do kẻ tấn công kiểm soát, đánh cắp tiền. Ngoài ra, mã độc còn chụp màn hình, thực thi lệnh từ xa và duy trì quyền truy cập qua các tác vụ đã lên lịch. Điểm đáng chú ý là mã độc không cần máy chủ điều khiển trực tiếp mà sử dụng Windows Script Host, ActiveX và một proxy Tor ẩn để giao tiếp. Microsoft khuyến nghị các tổ chức vô hiệu hóa tính năng auto-run, hạn chế script từ USB và giám sát các hành vi đáng ngờ như hoạt động proxy localhost:9050, theo dõi clipboard hay chụp màn hình bằng PowerShell. Chiến dịch này cho thấy mối đe dọa ngày càng tinh vi đối với lĩnh vực tiền điện tử.

Vào tháng 2 năm 2026, Microsoft Threat Intelligence và Microsoft Defender Experts đã phát hiện một cuộc tấn công crypto clipper. Đây là một chiến dịch được xây dựng trên nền tảng Windows. Phần mềm độc hại này khai thác người nắm giữ tiền điện tử thông qua việc chiếm quyền clipboard và tìm kiếm thông tin ví nhạy cảm. Những thông tin này đã được Microsoft báo cáo thông qua blog của họ.

Kẻ tấn công chủ yếu phát tán phần mềm độc hại này thông qua các tệp shortcut .lnk độc hại được phân phối trên ổ USB. Việc kích hoạt mã độc này dẫn đến việc phần mềm độc hại phát tán hai mô-đun. Một mô-đun lây lan phần mềm độc hại trên các hệ thống, trong khi mô-đun kia hoạt động như một công cụ cắt (clipper) và đánh cắp thông tin. Microsoft Defender Antivirus xác định mối đe dọa này là Trojan/CryptoBandits.A.

Khác với hầu hết các hoạt động phần mềm độc hại, hoạt động này không yêu cầu sử dụng trình cài đặt hoặc bất kỳ máy chủ điều khiển nào vì nó sử dụng Windows Script Host và công nghệ ActiveX để khởi chạy một proxy Tor được đóng gói. Sau đó, nó sử dụng proxy SOCKS5 trên máy tính bị nhiễm và kết nối với các máy chủ điều khiển, vốn chạy trên Dịch vụ Ẩn Tor (Tor Hidden Service).

Phần Mềm Độc Hại Chiếm Đoạt Thông Tin Ví Và Thay Đổi Địa Chỉ

Sau khi hệ thống bị nhiễm, phần mềm độc hại liên tục theo dõi mọi nội dung clipboard và tìm kiếm cụm khôi phục (recovery phrases), khóa riêng tư (private keys) và địa chỉ ví. Theo Microsoft, phần mềm độc hại nhắm mục tiêu chính xác vào cụm khôi phục 12 từ và 24 từ, khóa riêng tư Bitcoin và khóa riêng tư Ethereum. Nó thay thế các địa chỉ ví đã sao chép bằng những địa chỉ do kẻ tấn công kiểm soát trước khi người dùng hoàn thành giao dịch của họ.

Phần mềm độc hại chụp ảnh màn hình và gửi chúng qua các kết nối Tor, điều này cho phép kẻ tấn công có thêm thông tin về số dư ví và hoạt động của người dùng. Ngoài ra, Microsoft cho biết phần mềm độc hại có khả năng thực thi mã từ xa, cho phép kẻ tấn công có thể gửi các lệnh bổ sung trong khi đảm bảo sự tồn tại lâu dài thông qua việc sử dụng các tác vụ được lên lịch (scheduled tasks) và mã hóa các phần độc hại của phần mềm độc hại.

Các nhà nghiên cứu đã xác định được một số dấu hiệu bị xâm phạm, bao gồm việc thực thi JavaScript đáng ngờ, hoạt động proxy localhost:9050, việc chụp ảnh màn hình dựa trên PowerShell và hành vi giám sát clipboard. Microsoft khuyến nghị các tổ chức nên tắt các tính năng tự động chạy (auto-run). Họ cũng nên hạn chế trình thông dịch script và các shortcut có thể thực thi từ ổ USB, đồng thời giám sát mọi hoạt động đáng ngờ liên quan đến điều này. Chiến dịch phần mềm độc hại này nhấn mạnh sự tăng trưởng liên tục của việc sử dụng tiền điện tử trong giới nhà đầu tư và người dùng.

Các Tin Tức Nổi Bật Về Tiền Điện Tử:

Ethereum Foundation Đối Mặt Với Một Lần Rời Đi Nữa Khi Hsiao-Wei Wang Từ Chức

TagsBlockchainCryptoCryptocurrencyMalwareMicrosoftWallet

Câu hỏi Liên quan

QTheo báo cáo của Microsoft, mã độc CryptoBandits.A chủ yếu lây lan qua phương thức nào?

AMã độc này chủ yếu lây lan qua các tệp lối tắt .lnk độc hại được phân phối trên ổ đĩa USB.

QMã độc này hoạt động như thế nào để đánh cắp tiền điện tử của nạn nhân?

AMã độc liên tục theo dõi nội dung clipboard, tìm kiếm cụm từ khôi phục (12 hoặc 24 từ), khóa riêng tư Bitcoin/Ethereum và địa chỉ ví. Khi phát hiện, nó sẽ thay thế địa chỉ ví đã sao chép bằng địa chỉ do kẻ tấn công kiểm soát trước khi người dùng hoàn tất giao dịch.

QCông nghệ nào được mã độc sử dụng để kết nối với máy chủ điều khiển mà không cần cài đặt phần mềm cụ thể?

AMã độc sử dụng Windows Script Host và công nghệ ActiveX để khởi chạy một proxy Tor được đóng gói sẵn. Sau đó, nó sử dụng proxy SOCKS5 trên máy tính bị nhiễm để kết nối đến các máy chủ điều khiển chạy trên Tor Hidden Service.

QNgoài việc đánh cắp thông tin từ clipboard, mã độc còn có khả năng độc hại nào khác?

ANgoài đánh cắp thông tin, mã độc còn có khả năng chụp màn hình, thực thi mã từ xa, đảm bảo sự tồn tại lâu dài trên hệ thống thông qua các tác vụ đã lên lịch và mã hóa các phần độc hại của chính nó.

QMicrosoft đưa ra những khuyến nghị nào để phòng chống loại mã độc này?

AMicrosoft khuyến nghị các tổ chức nên vô hiệu hóa tính năng autorun, hạn chế thực thi các tập lệnh và lối tắt thực thi từ ổ USB, đồng thời giám sát mọi hoạt động đáng ngờ liên quan đến hành vi theo dõi clipboard hoặc proxy localhost:9050.

Nội dung Liên quan

Sony Bank Tiến Hành Kế Hoạch Stablecoin Đô La Mỹ Sau Khi Nhận Được Phê Duyệt Có Điều Kiện Từ OCC

Sony Bank đã nhận được sự chấp thuận có điều kiện từ Văn phòng Kiểm soát Tiền tệ Hoa Kỳ (OCC) để thành lập Connectia Trust, một ngân hàng ủy thác quốc gia tập trung vào tài sản kỹ thuật số. Sự chấp thuận này đưa Tập đoàn Tài chính Sony tiến gần hơn tới việc ra mắt một stablecoin được hỗ trợ bằng đồng Đô la Mỹ thông qua công ty con dự kiến tại Mỹ. Connectia Trust, một công ty con sở hữu toàn bộ với số vốn ban đầu 40 triệu USD, dự kiến sẽ bắt đầu hoạt động vào năm 2027 sau khi nhận được phê duyệt cuối cùng từ OCC. Stablecoin được đề xuất sẽ duy trì tỷ lệ neo 1:1 với đồng USD và được Sony dự định sử dụng trong hệ sinh thái của mình cho các khoản thanh toán liên quan đến trò chơi điện tử, anime, đăng ký và các dịch vụ giải trí kỹ thuật số khác, với khách hàng Mỹ là người dùng chính. Việc OCC cấp phép ủy thác ngân hàng quốc gia cho phép các công ty như Sony cung cấp dịch vụ lưu ký tài sản kỹ thuật số, quản lý dự trữ và phát hành stablecoin dưới sự giám sát của liên bang. Sony tham gia cùng một số công ty tài sản kỹ thuật số khác như Ripple, Circle và Fidelity trong việc theo đuổi tư cách ngân hàng ủy thác liên bang, bất chấp một số tranh luận đang diễn ra trong cơ quan quản lý.

TheNewsCrypto1 giờ trước

Sony Bank Tiến Hành Kế Hoạch Stablecoin Đô La Mỹ Sau Khi Nhận Được Phê Duyệt Có Điều Kiện Từ OCC

TheNewsCrypto1 giờ trước

OpenAI tuyển chuyên gia ngân hàng đầu tư, lương hàng năm chỉ 130 triệu đồng, cộng đồng mạng đều chê ít

OpenAI đang tuyển dụng Chuyên gia Ngân hàng Đầu tư với mức lương từ 18.5 - 20.5 USD/năm (125-130 triệu RMB), chưa tính cổ phiếu. Vị trí này thuộc nhóm Applied AI tại San Francisco và nhiều người nhận xét mức lương như vậy là khá thấp. Công việc chính là định hướng và đánh giá AI trong lĩnh vực ngân hàng đầu tư, bao gồm: biến quy trình công việc thực tế thành nhiệm vụ đánh giá, tạo ra các kết quả tham chiếu chất lượng cao (như mô hình tài chính, phân tích định giá), phát triển tiêu chí chấm điểm nghiêm ngặt, đồng thời xác định các cơ hội ứng dụng AI có giá trị nhất. Mục tiêu cuối cùng là giúp AI tạo ra sản phẩm công việc chính xác, đáng tin cậy, có thể sử dụng trong môi trường chuyên nghiệp thay vì chỉ "trông có vẻ ổn". Yêu cầu ứng viên có tối thiểu 2 năm kinh nghiệm ngân hàng đầu tư với trải nghiệm thực tế trong giao dịch, thành thạo Excel và PowerPoint, có khả năng phát hiện sai sót và đưa ra phán đoán tốt. Ưu tiên ứng viên có kinh nghiệm đa dạng về sản phẩm, ngành hoặc lĩnh vực liên quan. Đội ngũ Applied AI của OpenAI chọn ngân hàng đầu tư vì đây là môi trường đòi hỏi khắt khe, nơi cần tổng hợp thông tin phân mảnh, đưa ra phán đoán dưới áp lực và tạo ra các sản phẩm công việc chính xác, vững chắc. Đây là vị trí đóng góp cá nhân, không có nhiệm vụ quản lý.

marsbit2 giờ trước

OpenAI tuyển chuyên gia ngân hàng đầu tư, lương hàng năm chỉ 130 triệu đồng, cộng đồng mạng đều chê ít

marsbit2 giờ trước

ACL 2026 người Hoa thống trị bảng, các tác giả chính bài báo xuất sắc nhất toàn là người Hoa, bài báo nổi bật gần như 'bao sân'

**Tóm tắt Hội nghị ACL 2026: Bài báo xuất sắc nhất thuộc về các tác giả gốc Hoa, chứng kiến sự bùng nổ của nghiên cứu LLM** ACL 2026 tại San Diego ghi nhận kỷ lục 12,148 bài nộp, tăng 45%. Hội nghị bị thống trị bởi các chủ đề về LLM (23% tiêu đề). Ba bài báo xuất sắc nhất (Best Paper Award) đều có tác giả chính là người gốc Hoa: 1. **"Nghịch lý Thì chưa hoàn thành trong LLM"** (ĐH Munich & Tokyo): Phát hiện LLM mắc "thiên kiến mục đích luận", suy luận như một cỗ máy dự đoán cốt truyện hơn là lập luận logic trung thực. 2. **"Hiệu quả bộ nhớ và mã hóa hợp lý tài nguyên trong xử lý câu"** (UC Irvine & UMass Amherst): Khi áp đặt ràng buộc bộ nhớ làm việc giống con người, mô hình trở nên giống người hơn trong cách đọc và biểu diễn thông tin. 3. **"Đặc tả khả năng biểu đạt của cơ chế chú ý cục bộ trong Transformer"** (ETH Zürich): Sử dụng lý thuyết ngôn ngữ hình thức để giải thích tại sao cơ chế chú ý cục bộ (local attention) lại có thể mạnh hơn. Trong 18 bài báo xuất sắc (Outstanding Paper), các nhóm tác giả gốc Hoa cũng chiếm ưu thế, đặc biệt trong các lĩnh vực như tăng cường học (RL), an toàn LLM, và tác nhân AI. Các tác giả đến từ Trung Quốc đại lục chiếm 54% tổng số tác giả của hội nghị.

marsbit2 giờ trước

ACL 2026 người Hoa thống trị bảng, các tác giả chính bài báo xuất sắc nhất toàn là người Hoa, bài báo nổi bật gần như 'bao sân'

marsbit2 giờ trước

Giao dịch

Giao ngay
活动图片