Microsoft cảnh báo người dùng Windows về phần mềm độc CryptoBandits Clipper

Microsoft Threat Intelligence đã mô tả chi tiết một chiến dịch mã độc Windows được theo dõi là Trojan:Win32/CryptoBandits.A, trong đó có một cơ chế “clipper” lây lan qua các thiết bị lưu trữ di động, giám sát hoạt động bảng nhớ tạm (clipboard) và thay thế địa chỉ tiền mã hóa trước khi nạn nhân gửi tiền. Mã độc nhắm vào một trong những thói quen phổ biến nhất trong lĩnh vực crypto: sao chép và dán địa chỉ ví. Sau đó, nó thay địa chỉ đích hợp lệ bằng địa chỉ do kẻ tấn công kiểm soát. Chiến dịch này thể hiện một phương thức trộm cắp đặc thù cho crypto, lợi dụng sự tin tưởng vào USB và quy trình giao dịch thường ngày.

Mã độc CryptoBandits giám sát clipboard và đổi địa chỉ crypto

Mã độc theo dõi clipboard và thay các địa chỉ ví đã sao chép bằng địa chỉ do kẻ tấn công kiểm soát. Báo cáo của Microsoft cho biết chiến dịch CryptoBandits sử dụng giám sát clipboard tần suất cao và cũng có thể tìm kiếm các dữ liệu crypto nhạy cảm như khóa riêng hoặc cụm seed phrase. Người dùng sao chép một địa chỉ đích hợp lệ, nhưng mã độc sẽ chặn và thay thế địa chỉ đó trước khi nạn nhân dán vào giao dịch. Các bản chuyển trên blockchain rất khó hoặc không thể đảo ngược, và nạn nhân có thể chỉ nhận ra sự việc sau khi kiểm tra bản ghi giao dịch.

Mã độc lây lan qua USB bằng các phím tắt (shortcut) độc hại

Microsoft cho biết mã độc có thể lây lan qua các thiết bị lưu trữ di động bằng cách ẩn tài liệu thật và thay bằng các tệp shortcut độc hại sử dụng tên tệp tài liệu quen thuộc. Người dùng mở thứ trông giống PDF, bảng tính hoặc tài liệu thông thường từ USB, nhưng thay vào đó shortcut lại thực thi mã độc. Chiến dịch cũng sử dụng hạ tầng Tor cho lưu lượng lệnh và điều khiển (command-and-control), theo Microsoft. Bằng cách định tuyến liên lạc qua các dịch vụ ẩn, kẻ tấn công có thể khiến mã độc khó bị ngăn chặn hơn và khó để các hệ thống phòng thủ mạng truyền thống kiểm tra.

Microsoft khuyến nghị xác minh địa chỉ trước khi gửi tiền

Hướng dẫn của Microsoft bao gồm việc kiểm tra các ký tự đầu và cuối của địa chỉ đích trước khi gửi tiền. Với các khoản chuyển lớn, người dùng nên dùng ví phần cứng hoặc màn hình ví hiển thị địa chỉ độc lập với máy tính bị nhiễm. Người dùng cũng nên tránh mở các tệp từ USB không rõ nguồn gốc, cập nhật công cụ bảo mật của Windows và cảnh giác với các shortcut trên bộ nhớ lưu trữ di động. Nếu một ổ đĩa bất ngờ hiển thị các tệp quen thuộc dưới dạng liên kết shortcut, đó là dấu hiệu cảnh báo. Chiến dịch này tập trung vào Windows và nhắm tới người dùng crypto, những người dựa vào quy trình sao chép-dán để nhập địa chỉ giao dịch.

FAQ

Mã độc CryptoBandits làm gì với địa chỉ ví crypto?

Mã độc giám sát hoạt động clipboard và thay thế các địa chỉ ví tiền mã hóa đã sao chép bằng các địa chỉ do kẻ tấn công kiểm soát trước khi nạn nhân dán chúng vào giao dịch. Microsoft cho biết nó sử dụng giám sát clipboard tần suất cao và cũng có thể tìm kiếm khóa riêng hoặc cụm seed phrase.

CryptoBandits lây lan sang các máy tính khác như thế nào?

Microsoft cho biết mã độc lây lan qua các thiết bị USB di động bằng cách ẩn tài liệu thật và thay bằng các tệp shortcut độc hại sử dụng tên tệp tài liệu quen thuộc. Khi người dùng mở thứ trông như một tệp bình thường từ USB, thì shortcut sẽ thực thi mã độc thay vì tệp đó.