Từ Chiếm Đoạt Ví Đến Điều Khiển Từ Xa: Microsoft Tiết Lộ Một Làn Sóng Mới Của Phần Mềm Độc Hại Tiền Điện Tử Nhắm Vào Người Dùng Windows | Metaverse Post

Tóm tắt ngắn gọn

Microsoft phát hiện một chiến dịch phần mềm độc hại cắt trích tiền điện tử trên Windows sử dụng hạ tầng dựa trên Tor để đánh cắp thông tin ví, chiếm đoạt giao dịch và duy trì truy cập từ xa.

Công ty công nghệ Microsoft đã báo cáo việc phát hiện một chiến dịch phần mềm độc hại cắt trích tiền điện tử dựa trên Windows đã nhắm vào người dùng từ tháng 2 năm 2026. Mối đe dọa này, do Microsoft Threat Intelligence và Microsoft Defender Experts xác định, kết hợp việc đánh cắp clipboard, nhắm vào ví tiền điện tử và khả năng truy cập từ xa để đánh cắp tài sản kỹ thuật số và duy trì quyền kiểm soát các hệ thống bị xâm phạm.

Phần mềm độc hại được thiết kế để chặn thông tin nhạy cảm liên quan đến tiền điện tử, bao gồm địa chỉ ví, cụm từ seed và khóa riêng tư. Microsoft cho biết mối đe dọa này chủ yếu lây lan qua các tệp lối tắt độc hại (.lnk) phân phối qua các ổ USB di động. Khi hoạt động, phần mềm độc hại triển khai các thành phần bổ sung cho phép duy trì, thu thập dữ liệu và giao tiếp với hạ tầng do kẻ tấn công kiểm soát.

Khác với các chiến dịch phần mềm độc hại truyền thống dựa vào các máy chủ điều khiển và kiểm soát rõ ràng, chiến dịch này sử dụng một proxy Tor tích hợp để che giấu hoạt động mạng. Phần mềm độc hại khởi chạy một khách Tor di động qua Windows Script Host và các script dựa trên ActiveX, định tuyến các liên lạc qua proxy SOCKS5 cục bộ trước khi kết nối tới các máy chủ dịch vụ ẩn. Cách tiếp cận này giảm khả năng bị phát hiện và cho phép kẻ tấn công duy trì truy cập ẩn danh vào các thiết bị bị nhiễm.

Cuộc tấn công kết hợp hai chức năng chính: một thành phần lây lan qua các tệp nhiễm và phương tiện di động, và một thành phần cắt trích tiền điện tử tập trung vào việc đánh cắp tiền. Phần mềm độc hại có thể tạo ra các lối tắt độc hại trông giống như các tài liệu hợp lệ, khiến người dùng vô tình thực thi mã độc hại. Nó cũng tạo các tác vụ định kỳ để duy trì khả năng tồn tại và tiếp tục hoạt động sau khi hệ thống khởi động lại.

Một thế hệ mới của hạ tầng trộm cắp tiền điện tử

Phần mềm độc hại thể hiện sự chuyển đổi sang các mối đe dọa nhẹ, dựa trên script, kết hợp trộm cắp tài chính với khả năng cửa hậu rộng hơn. Sau khi nhiễm, phần mềm liên tục theo dõi hoạt động clipboard, tìm kiếm dữ liệu liên quan đến tiền điện tử. Khi người dùng sao chép địa chỉ ví, phần mềm có thể thay thế chúng bằng địa chỉ do kẻ tấn công kiểm soát, chuyển hướng các giao dịch mà người dùng không nhận ra ngay lập tức.

Mối đe dọa cũng tìm kiếm các khóa riêng Bitcoin và Ethereum liên quan, cùng các cụm seed BIP39, thường dùng để khôi phục ví tiền điện tử. Thông tin thu thập được truyền đến kẻ tấn công qua các kênh dựa trên Tor, trong khi các ảnh chụp màn hình được thu thập để cung cấp thêm bối cảnh về hoạt động ví và số dư tài khoản.

Microsoft nhấn mạnh rằng phần mềm độc hại này có khả năng thực thi lệnh từ xa, cho phép kẻ tấn công gửi lệnh và thực thi mã bổ sung trên các hệ thống bị nhiễm. Điều này mở rộng mối đe dọa từ một phần mềm cắt trích tiền đơn thuần thành một công cụ linh hoạt hỗ trợ các hoạt động độc hại khác.

Các nhà nghiên cứu an ninh nhận thấy chiến dịch này dựa nhiều vào các chỉ số hành vi hơn là phát hiện dựa trên tệp tin truyền thống. Các hoạt động đáng ngờ bao gồm các engine script khởi chạy các quá trình bất ngờ, thao tác địa chỉ tiền điện tử, chụp màn hình dựa trên PowerShell, và các kết nối proxy Tor bất thường qua cổng localhost 9050.

Microsoft Defender Antivirus phát hiện các thành phần liên quan của họ trong họ phần mềm độc hại này dưới tên Trojan:Win32/CryptoBandits.A, trong khi Microsoft Defender for Endpoint cung cấp các phát hiện hành vi bổ sung về hoạt động script đáng ngờ, cố gắng rò rỉ dữ liệu và thực thi quá trình bất thường.

Microsoft khuyên các tổ chức tăng cường phòng thủ chống các mối đe dọa từ phương tiện di động, hạn chế thực thi script không cần thiết, giám sát hoạt động proxy đáng ngờ và áp dụng các kiểm soát an ninh chống lại các script bị mã hóa, obfuscate. Công ty cũng đề xuất xem xét hành vi theo dõi clipboard và điều tra các hệ thống nơi các công cụ scripting tương tác với các tiện ích giao tiếp mạng.

Việc phát hiện này làm nổi bật sự tinh vi ngày càng tăng của phần mềm độc hại tập trung vào tiền điện tử, khi kẻ tấn công ngày càng kết hợp các kỹ thuật trộm ví tự động, hệ thống giao tiếp ẩn danh và các cơ chế truy cập bền bỉ. Khi tài sản kỹ thuật số tiếp tục tích hợp sâu vào hoạt động tài chính, các nhóm an ninh dự kiến sẽ đặt nhiều trọng tâm hơn vào việc bảo vệ thông tin đăng nhập ví và giám sát các hành vi liên quan đến các mối đe dọa nhắm vào crypto.