Microsoft Xác Định Phần Mềm Độc Hại Mới Nhắm Vào Địa Chỉ Ví Và Khóa Riêng Tư

TheNewsCryptoXuất bản vào 2026-06-19Cập nhật gần nhất vào 2026-06-19

Tóm tắt

Vào tháng 2/2026, Microsoft đã phát hiện một chiến dịch mã độc nhắm mục tiêu vào người dùng tiền điện tử, được đặt tên là Trojan/CryptoBandits.A. Mã độc này lây lan chủ yếu qua các file shortcut .lnk độc hại trên ổ USB. Sau khi xâm nhập hệ thống, phần mềm độc hại hoạt động như một "crypto clipper". Nó liên tục theo dõi nội dung clipboard để tìm kiếm các cụm từ khôi phục ví (12 hoặc 24 từ), khóa cá nhân Bitcoin/Ethereum và địa chỉ ví. Khi phát hiện, nó sẽ thay thế địa chỉ ví người dùng sao chép bằng địa chỉ do kẻ tấn công kiểm soát, đánh cắp tiền. Ngoài ra, mã độc còn chụp màn hình, thực thi lệnh từ xa và duy trì quyền truy cập qua các tác vụ đã lên lịch. Điểm đáng chú ý là mã độc không cần máy chủ điều khiển trực tiếp mà sử dụng Windows Script Host, ActiveX và một proxy Tor ẩn để giao tiếp. Microsoft khuyến nghị các tổ chức vô hiệu hóa tính năng auto-run, hạn chế script từ USB và giám sát các hành vi đáng ngờ như hoạt động proxy localhost:9050, theo dõi clipboard hay chụp màn hình bằng PowerShell. Chiến dịch này cho thấy mối đe dọa ngày càng tinh vi đối với lĩnh vực tiền điện tử.

Vào tháng 2 năm 2026, Microsoft Threat Intelligence và Microsoft Defender Experts đã phát hiện một cuộc tấn công crypto clipper. Đây là một chiến dịch được xây dựng trên nền tảng Windows. Phần mềm độc hại này khai thác người nắm giữ tiền điện tử thông qua việc chiếm quyền clipboard và tìm kiếm thông tin ví nhạy cảm. Những thông tin này đã được Microsoft báo cáo thông qua blog của họ.

Kẻ tấn công chủ yếu phát tán phần mềm độc hại này thông qua các tệp shortcut .lnk độc hại được phân phối trên ổ USB. Việc kích hoạt mã độc này dẫn đến việc phần mềm độc hại phát tán hai mô-đun. Một mô-đun lây lan phần mềm độc hại trên các hệ thống, trong khi mô-đun kia hoạt động như một công cụ cắt (clipper) và đánh cắp thông tin. Microsoft Defender Antivirus xác định mối đe dọa này là Trojan/CryptoBandits.A.

Khác với hầu hết các hoạt động phần mềm độc hại, hoạt động này không yêu cầu sử dụng trình cài đặt hoặc bất kỳ máy chủ điều khiển nào vì nó sử dụng Windows Script Host và công nghệ ActiveX để khởi chạy một proxy Tor được đóng gói. Sau đó, nó sử dụng proxy SOCKS5 trên máy tính bị nhiễm và kết nối với các máy chủ điều khiển, vốn chạy trên Dịch vụ Ẩn Tor (Tor Hidden Service).

Phần Mềm Độc Hại Chiếm Đoạt Thông Tin Ví Và Thay Đổi Địa Chỉ

Sau khi hệ thống bị nhiễm, phần mềm độc hại liên tục theo dõi mọi nội dung clipboard và tìm kiếm cụm khôi phục (recovery phrases), khóa riêng tư (private keys) và địa chỉ ví. Theo Microsoft, phần mềm độc hại nhắm mục tiêu chính xác vào cụm khôi phục 12 từ và 24 từ, khóa riêng tư Bitcoin và khóa riêng tư Ethereum. Nó thay thế các địa chỉ ví đã sao chép bằng những địa chỉ do kẻ tấn công kiểm soát trước khi người dùng hoàn thành giao dịch của họ.

Phần mềm độc hại chụp ảnh màn hình và gửi chúng qua các kết nối Tor, điều này cho phép kẻ tấn công có thêm thông tin về số dư ví và hoạt động của người dùng. Ngoài ra, Microsoft cho biết phần mềm độc hại có khả năng thực thi mã từ xa, cho phép kẻ tấn công có thể gửi các lệnh bổ sung trong khi đảm bảo sự tồn tại lâu dài thông qua việc sử dụng các tác vụ được lên lịch (scheduled tasks) và mã hóa các phần độc hại của phần mềm độc hại.

Các nhà nghiên cứu đã xác định được một số dấu hiệu bị xâm phạm, bao gồm việc thực thi JavaScript đáng ngờ, hoạt động proxy localhost:9050, việc chụp ảnh màn hình dựa trên PowerShell và hành vi giám sát clipboard. Microsoft khuyến nghị các tổ chức nên tắt các tính năng tự động chạy (auto-run). Họ cũng nên hạn chế trình thông dịch script và các shortcut có thể thực thi từ ổ USB, đồng thời giám sát mọi hoạt động đáng ngờ liên quan đến điều này. Chiến dịch phần mềm độc hại này nhấn mạnh sự tăng trưởng liên tục của việc sử dụng tiền điện tử trong giới nhà đầu tư và người dùng.

Các Tin Tức Nổi Bật Về Tiền Điện Tử:

Ethereum Foundation Đối Mặt Với Một Lần Rời Đi Nữa Khi Hsiao-Wei Wang Từ Chức

TagsBlockchainCryptoCryptocurrencyMalwareMicrosoftWallet

Câu hỏi Liên quan

QTheo báo cáo của Microsoft, mã độc CryptoBandits.A chủ yếu lây lan qua phương thức nào?

AMã độc này chủ yếu lây lan qua các tệp lối tắt .lnk độc hại được phân phối trên ổ đĩa USB.

QMã độc này hoạt động như thế nào để đánh cắp tiền điện tử của nạn nhân?

AMã độc liên tục theo dõi nội dung clipboard, tìm kiếm cụm từ khôi phục (12 hoặc 24 từ), khóa riêng tư Bitcoin/Ethereum và địa chỉ ví. Khi phát hiện, nó sẽ thay thế địa chỉ ví đã sao chép bằng địa chỉ do kẻ tấn công kiểm soát trước khi người dùng hoàn tất giao dịch.

QCông nghệ nào được mã độc sử dụng để kết nối với máy chủ điều khiển mà không cần cài đặt phần mềm cụ thể?

AMã độc sử dụng Windows Script Host và công nghệ ActiveX để khởi chạy một proxy Tor được đóng gói sẵn. Sau đó, nó sử dụng proxy SOCKS5 trên máy tính bị nhiễm để kết nối đến các máy chủ điều khiển chạy trên Tor Hidden Service.

QNgoài việc đánh cắp thông tin từ clipboard, mã độc còn có khả năng độc hại nào khác?

ANgoài đánh cắp thông tin, mã độc còn có khả năng chụp màn hình, thực thi mã từ xa, đảm bảo sự tồn tại lâu dài trên hệ thống thông qua các tác vụ đã lên lịch và mã hóa các phần độc hại của chính nó.

QMicrosoft đưa ra những khuyến nghị nào để phòng chống loại mã độc này?

AMicrosoft khuyến nghị các tổ chức nên vô hiệu hóa tính năng autorun, hạn chế thực thi các tập lệnh và lối tắt thực thi từ ổ USB, đồng thời giám sát mọi hoạt động đáng ngờ liên quan đến hành vi theo dõi clipboard hoặc proxy localhost:9050.

Nội dung Liên quan

Cardano Foundation Cảnh Báo Các SPO Chống Lại Việc Từ Chối Tham Gia Quản Trị Một Cách Thụ Động

Cardano Foundation đã cảnh báo các Nhà khai thác Stake Pool (SPO) về việc không tham gia một cách thụ động vào quản trị, đặc biệt là hành vi mặc định "tự động không biểu quyết" mà không xem xét nội dung đề xuất. Hành động này tạo ra khoảng trống trách nhiệm, làm suy yếu quản trị trong kỷ nguyên Voltaire. Tuy nhiên, việc từ chối biểu quyết thủ công sau khi đánh giá vẫn được coi là hợp lệ. Đối với các nhà giao dịch, thông tin này quan trọng vì nó phản ánh sự thay đổi trong tâm lý thị trường và có thể ảnh hưởng đến thanh khoản, vốn và sự tự tin trên toàn thị trường tiền điện tử. Cần theo dõi các chỉ số tiếp theo để xác định liệu đây là tín hiệu cấu trúc hay chỉ là biến động ngắn hạn.

bitcoinist4 phút trước

Cardano Foundation Cảnh Báo Các SPO Chống Lại Việc Từ Chối Tham Gia Quản Trị Một Cách Thụ Động

bitcoinist4 phút trước

BNB Chain Vượt Mặt Solana Trong Cuộc Đẩy Mạnh Giao Dịch Cổ Phiếu Token Hóa Đạt 5.2 Tỷ USD

BNB Chain đã vượt qua Solana về khối lượng giao dịch cổ phiếu mã hóa tích lũy, đạt 5,2 tỷ USD so với 4,5 tỷ USD của Solana, chủ yếu nhờ vào Ondo Finance Global Markets. Điều quan trọng cần lưu ý là số liệu của BNB Chain đo lường "khối lượng giao dịch tích lũy" trong khi Solana báo cáo "khối lượng chuyển khoản tích lũy" – một sự khác biệt then chốt. Sự kiện này có ý nghĩa với thị trường crypto vì nó cho thấy sự dịch chuyển trong thanh khoản và mức độ quan tâm đến tài sản thế giới thực (RWA), một chủ đề đang thu hút sự chú ý. Tuy nhiên, đây chỉ nên được xem như một tín hiệu thị trường, không phải một sự đảm bảo. Các trader cần theo dõi thêm các luồng dữ liệu tiếp theo, số liệu on-chain và điều kiện thị trường vĩ mô để xác nhận liệu đây có phải là một xu hướng dài hạn hay chỉ là sự điều chỉnh ngắn hạn. Bối cảnh hiện tại vẫn phụ thuộc nhiều vào dòng tiền ETF, đòn bẩy và sự luân chuyển vốn giữa các altcoin.

bitcoinist4 phút trước

BNB Chain Vượt Mặt Solana Trong Cuộc Đẩy Mạnh Giao Dịch Cổ Phiếu Token Hóa Đạt 5.2 Tỷ USD

bitcoinist4 phút trước

Các Nhà Phân Tích Nhìn Thấy XRP Và BNB Đuổi Theo Vị Thế Vốn Hóa Thị Trường 100 Tỷ USD Vào Cuối Năm 2026

**TL;DR** Các nhà phân tích dự đoán XRP và BNB có thể gia nhập hoặc tái gia nhập câu lạc bộ vốn hóa thị trường 100 tỷ USD vào nửa cuối năm 2026. Dự báo này dựa trên phân tích biểu đồ lịch sử và cơ bản dự án, không phải là kết quả tài chính được đảm bảo. **Tóm tắt** Một báo cáo từ Finbold chỉ ra XRP và BNB là những ứng cử viên chính để đạt mốc vốn hóa 100 tỷ USD vào cuối năm 2026. Thông tin này đóng vai trò như một thước đo tâm lý thị trường, cho thấy nơi mà sự thèm ăn rủi ro có thể đang dịch chuyển. Tuy nhiên, cần nhấn mạnh đây là suy đoán từ các nhà phân tích, không phải sự đảm bảo. Thị trường tiền điện tử thường biến một điểm dữ liệu nhỏ thành một câu chuyện lan rộng. Bài viết lưu ý rằng câu chuyện này không chỉ ảnh hưởng đến riêng XRP hay BNB. Nó có thể tác động lan tỏa đến các giao dịch liên quan, tâm lý altcoin và định vị của các tổ chức, đặc biệt trong bối cảnh thanh khoản mỏng. Điều quan trọng tiếp theo là theo dõi liệu các luồng dữ liệu tiếp theo (như số liệu on-chain, lãi suất mở) có củng cố xu hướng này hay không, hay nó sẽ chỉ là một tín hiệu ngắn hạn. Cần đọc thông tin này cùng với các điều kiện thị trường rộng hơn về thanh khoản, vĩ mô và phái sinh.

bitcoinist49 phút trước

Các Nhà Phân Tích Nhìn Thấy XRP Và BNB Đuổi Theo Vị Thế Vốn Hóa Thị Trường 100 Tỷ USD Vào Cuối Năm 2026

bitcoinist49 phút trước

Vốn Hóa Thị Trường Altcoin Quay Về Gần 900 Ngày Khi Nhà Phân Tích Chỉ Ra Vùng Hỗ Trợ Chính

Nhà phân tích Michaël van de Poppe chỉ ra rằng vốn hóa thị trường altcoin đã mất gần như toàn bộ mức tăng trưởng tích lũy trong gần **900 ngày**, quay trở lại vùng giá đột phá từ cuối năm 2023. Điều này cho thấy một đợt điều chỉnh mạnh, khiến tâm lý thị trường trở nên tiêu cực vì nhiều altcoin về cơ bản không có lãi sau một thời gian dài. Mặt tích cực là đợt điều chỉnh sâu này đưa thị trường về một vùng hỗ trợ quan trọng. Vùng giá đột phá trước đây thường thu hút sự chú ý của những người mua dài hạn và có thể trở thành khu vực tích lũy, tạo nền tảng cho đợt tăng tiếp theo nếu được giữ vững. Tuy nhiên, đây cũng là một điểm quyết định: nếu vùng hỗ trợ này thất bại, triển vọng sẽ ảm đạm hơn. Altcoin rất nhạy cảm với thanh khoản và mức độ ưa thích rủi ro. Do đó, các nhà giao dịch cần theo dõi tín hiệu phục hồi bền vững của vốn hóa thị trường altcoin từ vùng này, đi kèm với khối lượng giao dịch được cải thiện và sự tham gia rộng rãi trên nhiều lĩnh vực (L1, DeFi, cơ sở hạ tầng, token AI...), chứ không chỉ các đợt bơm giá riêng lẻ. Tóm lại, thị trường altcoin đang ở thời điểm cần chứng minh bản thân: giữ được hỗ trợ sẽ mở ra cơ hội tích lũy, ngược lại sẽ làm trầm trọng thêm câu chuyện "gần 900 ngày không có tiến triển".

bitcoinist49 phút trước

Vốn Hóa Thị Trường Altcoin Quay Về Gần 900 Ngày Khi Nhà Phân Tích Chỉ Ra Vùng Hỗ Trợ Chính

bitcoinist49 phút trước

Chainlink tăng 8,000 chủ sở hữu mới – LINK có thể phá vỡ xu hướng giảm của nó không?

Chainlink (LINK) đã chứng kiến sự gia tăng mạnh về số lượng ví nắm giữ, với hơn 8.000 ví mới trong 5 ngày, nâng tổng số lên 892.8K ví. Điều này cho thấy sự áp dụng mạng lưới tiếp tục mở rộng bất chấp giá cả còn yếu, có thể nhờ vào sự quan tâm xung quanh token hóa tài sản thực và các sáng kiến blockchain thể chế. Hoạt động trên sàn giao dịch cho thấy dòng tiền ròng rút ra chiếm ưu thế, phản ánh việc giảm nguồn cung bán ngay lập tức khi nhà đầu tư chuyển token vào ví lưu trữ dài hạn, một dấu hiệu của việc tích lũy. Về mặt kỹ thuật, LINK vẫn giao dịch trong một kênh giảm giá, nhiều lần phòng thủ thành công vùng hỗ trợ quan trọng quanh mức 7.00 USD nhưng chưa đủ sức thử thách vùng kháng cự phía trên. Chỉ số RSI cho thấy áp lực bán đã giảm nhưng sức mua vẫn còn yếu. Đáng chú ý, tỷ lệ tài trợ (Funding Rate) vẫn duy trì ở vùng tích cực, cho thấy nhà giao dịch phái sinh vẫn giữ niềm tin vào triển vọng tăng giá trong tương lai. Tóm lại, mặc dù xu hướng giảm giá vẫn chiếm ưu thế, Chainlink đang xây dựng nền tảng vững chắc với sự gia tăng người nắm giữ, dấu hiệu tích lũy và tâm lý phái sinh lạc quan. Sự phục hồi mạnh mẽ hơn có thể xảy ra nếu nhu cầu mua spot tăng cường, giúp LINK thoát khỏi kênh giảm giá hiện tại.

ambcrypto53 phút trước

Chainlink tăng 8,000 chủ sở hữu mới – LINK có thể phá vỡ xu hướng giảm của nó không?

ambcrypto53 phút trước

Giao dịch

Giao ngay
活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow