AI News CryptoTRADE THE NEWS
A USB drive plugged into a laptop with cables
Tiền điện tử
Trading

Microsoft cảnh báo malware CryptoBandits lây lan qua USB

Worm Windows sử dụng các lối tắt .lnk độc hại, kiểm tra clipboard mỗi ~500 ms và lấy dữ liệu ra ngoài qua Tor.

Bởi AI News Crypto Editorial Team5 phút đọc

Microsoft đã công bố một worm Windows lây lan qua USB được phát hiện là Trojan:Win32/CryptoBandits, đã nhắm đến hoạt động ví tiền điện tử kể từ tháng 2 năm 2026. Phần mềm độc hại theo dõi clipboard để tìm kiếm các cụm từ hạt giống, khóa riêng và địa chỉ người nhận, và có thể âm thầm thay thế các địa chỉ đích đã sao chép để chuyển hướng các giao dịch.

Điểm chính

  • Một worm Windows lây lan qua USB được theo dõi là Trojan:Win32/CryptoBandits đã nhắm đến hoạt động ví tiền điện tử kể từ tháng 2 năm 2026.
  • Sự lây nhiễm ban đầu có thể bắt đầu chỉ với một cú nhấp chuột vào một phím tắt Windows độc hại (.lnk) được đặt trên một ổ USB bị nhiễm.
  • Payload kiểm tra clipboard của Windows khoảng mỗi 500 mili giây và có thể hoán đổi các địa chỉ người nhận đã sao chép trước khi người dùng dán chúng vào quy trình chuyển tiền.
  • Dữ liệu bị đánh cắp được gửi ra ngoài qua Tor, và phần mềm độc hại cũng chụp năm ảnh chụp màn hình cách nhau 10 giây.

Microsoft đặt tên Trojan:Win32/CryptoBandits là một “Crypto Clipper” lây lan qua USB

Microsoft đã công bố một chiến dịch “crypto clipper” trên Windows lây lan qua các ổ USB bị nhiễm và nhắm đến các hoạt động ví tiền điện tử. Microsoft Defender phát hiện mối đe dọa này là Trojan:Win32/CryptoBandits, và Microsoft cho biết worm này đã hoạt động kể từ tháng 2 năm 2026.

Nhãn hiệu không quan trọng bằng quy trình mà nó nhắm đến. Đây không phải là một mẹo tiêm trình duyệt ngách. Nó được thiết kế để ngồi trên một máy Windows và can thiệp vào đúng thời điểm mà tiền được chuyển, nơi các nhà giao dịch và người dùng chuyên nghiệp thường dựa vào việc sao chép và dán để tránh lỗi chính tả.

Từ một cú nhấp chuột .lnk đến một giao dịch bị đánh cắp: Cách hoạt động của việc hoán đổi clipboard

Chuỗi lây nhiễm bắt đầu từ phương tiện có thể tháo rời. Một ổ USB bị nhiễm chứa một tệp lối tắt Windows độc hại có đuôi “.lnk”. Khi người dùng nhấp vào nó, lối tắt sẽ thực thi các lệnh do kẻ tấn công kiểm soát để cài đặt sâu bọ vào PC.

Khi đã cư trú, thành phần đánh cắp ví sẽ theo dõi clipboard của Windows khoảng mỗi 500 mili giây. Microsoft cho biết nó tìm kiếm cụm từ hạt giống, khóa riêng, và địa chỉ người nhận. Phần khó khăn nhất của hầu hết các vụ trộm ví là khiến người dùng giao nộp bí mật. Chiến dịch này giảm thiểu sự phụ thuộc đó bằng cách nhắm vào việc thực hiện chuyển tiền thay vì.

Hành vi quan trọng là thay thế địa chỉ. Khi một người dùng sao chép địa chỉ người nhận để gửi tiền, phần mềm độc hại có thể lặng lẽ thay thế nó bằng một địa chỉ do kẻ tấn công kiểm soát trước khi dán, mà không có dấu hiệu nào rõ ràng. Điều đó có nghĩa là người dùng có thể làm mọi thứ “đúng” bằng cách không bao giờ gõ cụm từ hạt giống vào một trang lừa đảo và vẫn bị mất tiền vào thời điểm rút tiền hoặc gửi trên chuỗi.

Dữ liệu clipboard bị chặn được xuất ra qua mạng Tor. Microsoft cũng cho biết phần mềm độc hại chụp năm ảnh màn hình, cách nhau mười giây, và gửi chúng cho kẻ tấn công, một cách đơn giản để ghi lại những gì đã hiển thị trên màn hình trong quá trình thiết lập, đăng nhập hoặc xác nhận chuyển tiền.

Tại sao sự phát tán USB thay đổi mô hình mối đe dọa cho các hoạt động ví

Sự phát tán USB biến vấn đề này từ một điểm cuối đơn lẻ thành một vấn đề hoạt động. Worm chờ đợi các phương tiện di động bổ sung, sau đó lây lan khi một ổ USB sạch được chèn vào máy bị nhiễm.

Mô tả của Microsoft rất thẳng thắn: phần mềm độc hại quét ổ đĩa sạch để tìm các tệp thông thường như tài liệu Word, bảng tính Excel và PDF, sau đó thay thế chúng bằng các tệp lối tắt có tên giống hệt để lây nhiễm ổ đĩa. Đó là một cái bẫy thực tế cho các quy trình làm việc trên bàn làm việc mà chuyển tệp giữa các máy, bao gồm cả thói quen bán ngắt kết nối nơi người dùng giả định rằng “ngoại tuyến” đồng nghĩa với an toàn.

Đối với các nhà giao dịch, rủi ro cấp hai là sự di chuyển ngang vào máy thực sự ký hoặc chuẩn bị các chuyển nhượng. Một USB bị nhiễm đơn lẻ được sử dụng để “chỉ chuyển một tệp” có thể trở thành cầu nối.

Sổ tay Defender: AutoRun, Chặn .lnk, Máy chủ Script và Săn lùng cổng Tor 9050

Microsoft đã khuyến nghị vô hiệu hóa AutoRun cho các phương tiện di động và chặn việc thực thi .lnk trên các ổ USB thông qua Chính sách Nhóm. Họ cũng khuyên nên hạn chế các máy chủ script của Windows như wscript.exe và cscript.exe, đây là các đường dẫn thực thi phổ biến cho các chuỗi phần mềm độc hại dựa trên lối tắt và script.

Về phía phát hiện, Microsoft cho biết khách hàng Defender có thể chạy các truy vấn săn lùng cho các hoạt động liên quan, bao gồm các kết nối nhất quán với một proxy Tor cục bộ trên cổng 9050. Microsoft cũng đã công bố các chỉ số thỏa hiệp cho các nhà bảo vệ, bao gồm các băm tệp và các miền điều khiển và kiểm soát .onion.

Điều còn chưa rõ là phạm vi. Thông báo, như đã cung cấp, không định lượng số lượng nạn nhân, khu vực, ứng dụng ví cụ thể hoặc số tiền bị đánh cắp. Tín hiệu cụ thể tiếp theo sẽ là liệu Microsoft có mở rộng các chi tiết đó hay không, và liệu các phát hiện mới có liên kết CryptoBandits với phần mềm ví cụ thể hoặc quy trình rút tiền trao đổi hay không.

Đối với các doanh nghiệp và nhóm giao dịch, telemetry ngay lập tức cần theo dõi là việc thực thi .lnk từ các phương tiện di động và bất kỳ hoạt động giống như proxy Tor nào trên cổng 9050, sau đó khớp các băm đã cập nhật của Microsoft và cơ sở hạ tầng .onion với nhật ký điểm cuối và mạng.

Quan điểm của Marcus Hale: Chế độ thất bại im lặng là thay thế địa chỉ, không phải đánh cắp khóa

Tôi coi đây là một vấn đề cấu trúc thị trường cho các hoạt động tự quản lý, không phải là một tiêu đề về “phần mềm độc hại mới”. Thiết kế được tối ưu hóa cho con đường đánh cắp ít ma sát nhất: cắt địa chỉ đích vào thời điểm chuyển nhượng, và người dùng sẽ làm phần còn lại.

Ngưỡng quan trọng là liệu các nhà bảo vệ có thể đáng tin cậy hiển thị việc thực thi .lnk từ phương tiện di động và các dấu vết proxy Tor trước khi lần gửi xấu đầu tiên được gửi đi hay không.

Sự lan truyền USB là yếu tố nhân. Nếu mẫu nhảy đó giữ nguyên trong các quy trình làm việc thực tế trên bàn, thì thiết lập bắt đầu trông có cấu trúc hơn là dựa trên câu chuyện, vì nó nhắm đến hành vi di chuyển tệp mà nhiều nhóm vẫn phụ thuộc vào. Phát triển này có ý nghĩa thực tiễn nếu CryptoBandits xuất hiện như một mẫu lặp lại .lnk-từ-USB cộng với telemetry Tor-9050 bên trong các môi trường thường xuyên tổ chức và thực hiện rút tiền.

Nguồn