Thông tin về mối đe dọa của Microsoft đã xác định được một loại phần mềm độc hại tự lan truyền mới lây lan qua ổ USB, giám sát bảng tạm Windows để tìm địa chỉ ví tiền điện tử và cụm từ hạt giống, đồng thời định tuyến tất cả dữ liệu bị đánh cắp thông qua ứng dụng khách Tor di động để tránh bị phát hiện. Chiến dịch này đã hoạt động ít nhất từ tháng 2 năm 2026, theo phân tích của Microsoft được công bố trong tuần này.
Phần mềm độc hại mà Microsoft phát hiện là Trojan:Win32/CryptoBandits.A, hoạt động như một loại sâu USB cổ điển với tải trọng hiện đại. Khi người dùng cắm ổ đĩa bị nhiễm virus vào, họ sẽ thấy những gì có vẻ là tệp tài liệu thông thường của họ. Các bản gốc đã bị ẩn đi, thay thế bằng các tập tin phím tắt Windows (.lnk) mang cùng tên sẽ âm thầm thực thi phần mềm độc hại khi mở ra.
Các tệp .lnk quét ổ đĩa để tìm các tài liệu có phần mở rộng .doc, .xlsx và .pdf, ẩn các bản gốc và tạo các tệp lối tắt phù hợp ở vị trí của chúng. Thành phần sâu cũng tự ghi vào bất kỳ ổ USB mới nào được kết nối với máy bị nhiễm, cho phép nó lây lan xa hơn mà không cần người dùng thực hiện hành động nào ngoài việc mở một tệp trông giống như một tệp thông thường.
💜 của công nghệ EU
Những tin đồn mới nhất từ bối cảnh công nghệ EU, câu chuyện từ người sáng lập thông thái Boris của chúng tôi và một số tác phẩm nghệ thuật AI đáng nghi vấn. Nó miễn phí hàng tuần trong hộp thư đến của bạn. Đăng ký ngay bây giờ!
Sau khi chạy trên hệ thống, phần mềm độc hại sẽ triển khai một máy khách Tor di động được đổi tên thành ugate.exe và định cấu hình proxy SOCKS5 trên cổng localhost 9050. Sau đó, tất cả lưu lượng truy cập lệnh và kiểm soát sẽ định tuyến qua mạng .onion của Tor, khiến tường lửa và các công cụ bảo mật của công ty gặp khó khăn hơn đáng kể trong việc chặn hoặc theo dõi thông tin liên lạc. Cơ sở hạ tầng C2 sử dụng ba đường dẫn điểm cuối: /route.php để đăng ký, /recvf.php để tải lên các tệp bị đánh cắp và /stub.php để tải xuống các tải trọng bổ sung.
Giám sát clipboard là cơ chế đánh cắp chính của phần mềm độc hại. Nó kiểm tra khay nhớ tạm của Windows khoảng 500 mili giây một lần, tìm kiếm các mẫu khớp với địa chỉ ví tiền điện tử hoặc cụm từ khôi phục. Khi phát hiện sự trùng khớp, nó âm thầm thay thế địa chỉ được sao chép bằng địa chỉ do kẻ tấn công kiểm soát, do đó nạn nhân vô tình gửi tiền vào ví sai.
Phần mềm độc hại nhắm mục tiêu sáu loại tiền điện tử trên nhiều định dạng địa chỉ. Đối với Bitcoin, nó nhận ra các địa chỉ kế thừa bắt đầu bằng “1,” Địa chỉ trả tiền cho tập lệnh-Hash bắt đầu bằng “3,” địa chỉ SegWit gốc bắt đầu bằng “bc1q,” và địa chỉ Taproot bắt đầu bằng “bc1p.” Nó cũng nhắm mục tiêu vào các địa chỉ Tron bắt đầu bằng “T” và địa chỉ Monero bắt đầu bằng “4” hoặc “8.” Việc chiếm quyền điều khiển clipboard để đánh cắp tiền điện tử không chỉ giới hạn ở Windows, với các trojan Android như Rokarolla sử dụng kỹ thuật tương tự để chuyển hướng thanh toán bằng tiền điện tử trên thiết bị di động.
Ngoài địa chỉ ví, phần mềm độc hại còn quét nội dung clipboard để tìm cụm từ hạt giống BIP39, khóa khôi phục 12 hoặc 24 từ cấp quyền truy cập đầy đủ vào ví tiền điện tử. Nó cũng trích xuất các khóa riêng Ethereum và các khóa Định dạng nhập ví Bitcoin (WIF). Việc nắm bắt cụm từ hạt giống hoặc khóa riêng sẽ giúp kẻ tấn công kiểm soát hoàn toàn ví được liên kết chứ không chỉ khả năng chuyển hướng một giao dịch.
Phần mềm độc hại bao gồm một mô-đun giám sát chụp 5 ảnh chụp màn hình trong khoảng thời gian 10 giây, đóng gói chúng để tải lên máy chủ C2. Điều này cung cấp cho người điều hành một bản ghi trực quan về những gì nạn nhân đang làm tại thời điểm bị lây nhiễm, có khả năng tiết lộ thông tin xác thực bổ sung, tab trình duyệt đang mở hoặc bảng điều khiển tài chính.
Lệnh có tên EVAL cho phép người vận hành C2 đẩy và thực thi mã tùy ý trên các máy bị nhiễm, biến kẻ đánh cắp tiền điện tử thành công cụ truy cập từ xa có mục đích chung. Microsoft lưu ý rằng khả năng này có nghĩa là các tác nhân đe dọa có thể điều chỉnh hành vi của phần mềm độc hại sau khi triển khai mà không cần phải lây nhiễm lại mục tiêu.
Phần mềm độc hại sử dụng nhiều lớp trốn tránh. Trình cài đặt ban đầu là một tệp thực thi dựa trên Python được mã hóa bằng PyArmor và được đóng gói bằng PyInstaller, khiến việc phân tích tĩnh trở nên khó khăn. Tải trọng JavaScript được giảm xuống C:\Users\Public\Documents sử dụng sơ đồ che giấu lớp kép riêng biệt.
Là một biện pháp chống phân tích, phần mềm độc hại sẽ kiểm tra xem Trình quản lý tác vụ có đang chạy hay không và thoát ra nếu phát hiện ra quy trình này, một cách cơ bản nhưng hiệu quả để cản trở việc điều tra thông thường.
Việc sử dụng Tor cho thông tin liên lạc C2 phản ánh sự thay đổi rộng rãi hơn trong cơ sở hạ tầng phần mềm độc hại hướng tới các mạng ẩn danh chống lại các nỗ lực gỡ bỏ. Phần mềm độc hại truyền thống dựa trên tên miền hoặc địa chỉ IP cố định có thể bị gián đoạn khi những người bảo vệ tịch thu những tài sản đó. Các kênh C2 dựa trên Tor khó bị tắt hơn đáng kể vì địa chỉ .onion không bị ràng buộc với bất kỳ nhà đăng ký hoặc nhà cung cấp dịch vụ lưu trữ nào có thể buộc phải hành động.
Microsoft khuyến nghị một số biện pháp giảm nhẹ, bắt đầu bằng việc tắt AutoRun và AutoPlay để ngăn việc thực thi tự động khi ổ USB được kết nối. Chính sách nhóm có thể được định cấu hình để chặn các tệp .lnk chạy trên phương tiện lưu động và hạn chế wscript.exe và cscript.exe thông qua các chính sách kiểm soát ứng dụng sẽ ngăn các tải trọng dựa trên JavaScript thực thi.
Giám sát mạng đối với các kết nối đến cổng localhost 9050 có thể gắn cờ các máy đã cài đặt máy khách Tor di động.
Phần mềm độc hại lây truyền qua USB phần lớn đã không còn được chú ý đến về mặt bảo mật vì các công cụ cộng tác và lưu trữ đám mây đã giảm sự phụ thuộc vào ổ đĩa vật lý. Nhưng các cuộc tấn công khai thác lòng tin và chuỗi cung ứng vẫn hiệu quả chính xác vì chúng nhắm vào các hành vi mà người dùng coi là thông lệ, cho dù đó là cắm ổ USB hay cài đặt gói từ kho lưu trữ quen thuộc.
Microsoft đã công bố các chỉ báo về sự xâm phạm SHA-256, ánh xạ kỹ thuật MITER ATT&CK và các truy vấn tìm kiếm KQL trong bài đăng trên blog của mình để giúp các nhóm bảo mật phát hiện các sự lây nhiễm hiện có. Công ty cho biết Microsoft Defender đã phát hiện dòng phần mềm độc hại và nhóm Chuyên gia bảo vệ của họ đã hỗ trợ điều tra. Microsoft không quy kết chiến dịch cho một tác nhân đe dọa cụ thể hoặc ước tính số lượng lây nhiễm.
Nguồn The Next Web