Microsoft cảnh báo về phần mềm độc hại tiền điện tử mới có khả năng chiếm quyền chuyển tiền từ ví.
Market News

Microsoft cảnh báo về phần mềm độc hại tiền điện tử mới có khả năng chiếm quyền chuyển tiền từ ví.

Bởi vietnameselbn

Microsoft cảnh báo về CryptoBandits.A, một clipper Windows dựa trên Tor đánh cắp dữ liệu ví và chiếm quyền chuyển tiền mã hóa.

Microsoft đã cảnh báo về một clipper tiền mã hóa dựa trên Windows được thiết kế để đánh cắp dữ liệu ví và thay đổi các giao dịch chuyển tiền mã hóa.

Phần mềm độc hại này đã ảnh hưởng đến người dùng kể từ tháng 2 năm 2026, theo Microsoft Threat Intelligence và Microsoft Defender Experts.

Chiến dịch sử dụng các phím tắt .lnk độc hại và ổ USB để lây lan qua các thiết bị Windows bị xâm phạm.

Microsoft Defender Antivirus phát hiện mối đe dọa là Trojan:Win32/CryptoBandits.A, trong khi Defender for Endpoint đánh dấu các hoạt động liên quan.

Phần mềm độc hại sử dụng Tor để ẩn máy chủ lệnh

Microsoft cho biết phần mềm độc hại khởi chạy thông qua các lệnh Windows Script Host và dựa trên ActiveX sau khi người dùng mở một phím tắt độc hại.

Sau đó, tập lệnh khởi động một tệp Tor đã được đổi tên có tên ugate.exe trong một cửa sổ ẩn. Sau khi Tor tải, phần mềm độc hại liên hệ với các máy chủ lệnh dịch vụ ẩn thông qua một proxy cục bộ.

Phương pháp này tránh sử dụng cơ sở hạ tầng lệnh dựa trên IP lộ liễu, khiến việc theo dõi trở nên khó khăn hơn đối với các nhà phòng thủ.

Phần mềm độc hại định tuyến lưu lượng qua localhost:9050, thường liên quan đến hoạt động proxy Tor SOCKS5. Microsoft mô tả hành vi này là một dấu hiệu cảnh báo mạnh mẽ cho các nhóm bảo mật.

Clipper cũng tạo một ID nạn nhân trước khi đăng ký thiết bị bị nhiễm với máy chủ lệnh của nó.

Kết nối đó cho phép kẻ tấn công gửi hướng dẫn và nhận dữ liệu bị đánh cắp. Kết quả là, công cụ này hoạt động như một kẻ đánh cắp tiền mã hóa và một backdoor truy cập từ xa nhỏ.

Clipper nhắm mục tiêu vào địa chỉ ví và khóa

Phần mềm độc hại giám sát hoạt động clipboard với tốc độ cao để tìm địa chỉ ví tiền mã hóa và các dữ liệu có giá trị khác.

Khi người dùng sao chép một địa chỉ ví, clipper có thể thay thế nó bằng một địa chỉ do kẻ tấn công kiểm soát. Điều này có thể chuyển hướng một giao dịch trước khi người dùng nhận thấy sự thay đổi.

Microsoft cho biết phần mềm độc hại cũng có thể đánh cắp các cụm từ hạt giống, khóa riêng tư và các thông tin liên quan đến ví khác.

Những chi tiết này có thể cho phép kẻ tấn công truy cập vào tiền được lưu trữ trong các ví tiền mã hóa bị ảnh hưởng. Phần mềm độc hại cũng có thể chụp ảnh màn hình và gửi chúng đến máy chủ lệnh của nó.

Mối đe dọa bao gồm một kiểm tra chống phân tích tìm kiếm Trình Quản lý Tác vụ trên hệ thống bị nhiễm.

Khi phát hiện Trình Quản lý Tác vụ, tập lệnh có thể ngừng chạy để tránh bị xem xét. Tính năng này có thể làm cho việc điều tra thủ công trở nên khó khăn hơn trong các kiểm tra ban đầu.

Đọc thêm:

https://www.livebitcoinnews.com/hackers-secretly-target-crypto-developers-with-dangerous-trapdoor-malware/

Lây lan qua USB làm tăng rủi ro doanh nghiệp

Microsoft cho biết chiến dịch bao gồm một thành phần worm giúp phần mềm độc hại lây lan qua các thiết bị bị xâm phạm.

Worm tạo ra các phím tắt độc hại bắt chước các tệp hợp lệ được tìm thấy trên hệ thống. Nó cũng có thể sử dụng ổ USB để di chuyển giữa các máy.

Phần mềm độc hại thêm các tác vụ đã lên lịch để duy trì thực thi và tồn tại sau khi lây nhiễm.

Nó cũng phân phối các payload dạng tệp và cố gắng loại trừ chúng khỏi quá trình quét của Defender. Các bước này giúp phần mềm độc hại duy trì hoạt động sau khi thiết bị khởi động lại.

Đối với các nhà phòng thủ, Microsoft chỉ ra các tín hiệu dựa trên hành vi là con đường phát hiện rõ ràng nhất.

Những tín hiệu này bao gồm các trình thông dịch tập lệnh tạo ra các tiến trình con bất thường và các lệnh PowerShell liên quan đến chụp màn hình.

Kiểm tra clipboard, thay thế địa chỉ tiền mã hóa, trích xuất dựa trên curl và sử dụng proxy Tor cũng là những dấu hiệu chính.

Cảnh báo được đưa ra khi người dùng tiền mã hóa tiếp tục dựa vào các địa chỉ ví được sao chép để chuyển tiền.

Microsoft khuyên nên chú ý đến hành vi điểm cuối, ổ di động và hoạt động phím tắt đáng ngờ.

Chiến dịch cho thấy cách các giao dịch chuyển ví có thể bị chiếm quyền thông qua các tính năng Windows phổ biến và hành động của người dùng.

vietnameselbn

Về tác giả

vietnameselbn

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *