MinhSec
Writer
Các chuyên gia an ninh mạng của Microsoft vừa phát đi cảnh báo về một loại phần mềm độc hại mới có tên CryptoBandits, được thiết kế để đánh cắp tài sản tiền điện tử bằng cách âm thầm thay đổi địa chỉ ví của nạn nhân.
Điểm đáng lo ngại là loại mã độc này không chỉ hoạt động trên máy tính Windows mà còn có khả năng lây lan rất nhanh qua các thiết bị USB, biến những chiếc ổ cắm tưởng như vô hại thành công cụ phát tán nguy hiểm.
Theo báo cáo, CryptoBandits bắt đầu được ghi nhận từ tháng 2/2026 dưới định danh Trojan:Win32/CryptoBandits.A. Không giống nhiều phần mềm độc hại thông thường, nó sử dụng chiến thuật “hai lớp”: vừa tự lây lan như một con sâu máy tính, vừa đóng vai trò như một clipper chuyên đánh cắp dữ liệu tiền điện tử.
Quá trình lây nhiễm bắt đầu khi người dùng cắm một USB đã bị cài mã độc. Bên trong thiết bị sẽ chứa các tệp shortcut giả mạo (.lnk), trông giống như tài liệu bình thường. Khi nạn nhân nhấp vào, thay vì mở tài liệu, mã độc sẽ kích hoạt và âm thầm cài đặt vào hệ thống.
Để tránh bị phát hiện, CryptoBandits sẽ ẩn các tệp gốc trong USB, tạo ra các shortcut giả thay thế và thậm chí tự thêm ngoại lệ vào Microsoft Defender để tránh bị quét.
Khi phát hiện người dùng sao chép địa chỉ ví để thực hiện giao dịch, mã độc sẽ ngay lập tức thay địa chỉ đó bằng ví của hacker. Nếu người dùng không kiểm tra kỹ trước khi gửi, toàn bộ số tiền có thể bị chuyển thẳng vào tay kẻ tấn công.
Microsoft cho biết CryptoBandits nhắm tới nhiều loại ví phổ biến như Bitcoin, Monero và TRON, với cơ chế thay thế được thiết kế riêng cho từng định dạng địa chỉ.
Không dừng lại ở đó, phần mềm này còn có thể chụp liên tiếp 5 ảnh màn hình cách nhau 10 giây để giúp hacker theo dõi số dư ví hoặc các hoạt động của nạn nhân.
Một chi tiết cho thấy mức độ tinh vi là CryptoBandits sẽ tự động dừng hoạt động nếu phát hiện Task Manager đang mở, nhằm tránh bị người dùng phát hiện.
Để che giấu liên lạc với máy chủ điều khiển, mã độc tích hợp luôn mạng ẩn danh Tor và sử dụng công cụ curl để gửi dữ liệu đến các địa chỉ .onion, khiến việc truy vết trở nên khó khăn hơn nhiều.
Điều này đồng nghĩa hacker không chỉ đánh cắp tiền điện tử mà còn có thể điều khiển từ xa máy tính bị nhiễm, tải thêm mã độc mới hoặc tiếp tục giám sát nạn nhân trong thời gian dài.
Microsoft khuyến cáo người dùng nên tắt tính năng AutoPlay trên USB, hạn chế mở các file shortcut lạ và luôn kiểm tra kỹ địa chỉ ví trước khi xác nhận giao dịch. Trong bối cảnh các vụ tấn công nhắm vào tài sản số ngày càng tinh vi, chỉ một cú click bất cẩn cũng có thể khiến toàn bộ ví tiền điện tử “bốc hơi” trong vài giây.
Điểm đáng lo ngại là loại mã độc này không chỉ hoạt động trên máy tính Windows mà còn có khả năng lây lan rất nhanh qua các thiết bị USB, biến những chiếc ổ cắm tưởng như vô hại thành công cụ phát tán nguy hiểm.
Theo báo cáo, CryptoBandits bắt đầu được ghi nhận từ tháng 2/2026 dưới định danh Trojan:Win32/CryptoBandits.A. Không giống nhiều phần mềm độc hại thông thường, nó sử dụng chiến thuật “hai lớp”: vừa tự lây lan như một con sâu máy tính, vừa đóng vai trò như một clipper chuyên đánh cắp dữ liệu tiền điện tử.
Quá trình lây nhiễm bắt đầu khi người dùng cắm một USB đã bị cài mã độc. Bên trong thiết bị sẽ chứa các tệp shortcut giả mạo (.lnk), trông giống như tài liệu bình thường. Khi nạn nhân nhấp vào, thay vì mở tài liệu, mã độc sẽ kích hoạt và âm thầm cài đặt vào hệ thống.
Để tránh bị phát hiện, CryptoBandits sẽ ẩn các tệp gốc trong USB, tạo ra các shortcut giả thay thế và thậm chí tự thêm ngoại lệ vào Microsoft Defender để tránh bị quét.
Âm thầm theo dõi clipboard, thay ví tiền điện tử chỉ trong tích tắc
Phần nguy hiểm nhất của CryptoBandits nằm ở cơ chế theo dõi clipboard. Sau khi xâm nhập thành công, nó liên tục quét bộ nhớ tạm của máy tính mỗi 500 mili giây để phát hiện địa chỉ ví tiền điện tử, khóa riêng tư hoặc cụm từ khôi phục ví gồm 12 đến 24 từ.Khi phát hiện người dùng sao chép địa chỉ ví để thực hiện giao dịch, mã độc sẽ ngay lập tức thay địa chỉ đó bằng ví của hacker. Nếu người dùng không kiểm tra kỹ trước khi gửi, toàn bộ số tiền có thể bị chuyển thẳng vào tay kẻ tấn công.
Microsoft cho biết CryptoBandits nhắm tới nhiều loại ví phổ biến như Bitcoin, Monero và TRON, với cơ chế thay thế được thiết kế riêng cho từng định dạng địa chỉ.
Không dừng lại ở đó, phần mềm này còn có thể chụp liên tiếp 5 ảnh màn hình cách nhau 10 giây để giúp hacker theo dõi số dư ví hoặc các hoạt động của nạn nhân.
Một chi tiết cho thấy mức độ tinh vi là CryptoBandits sẽ tự động dừng hoạt động nếu phát hiện Task Manager đang mở, nhằm tránh bị người dùng phát hiện.
Để che giấu liên lạc với máy chủ điều khiển, mã độc tích hợp luôn mạng ẩn danh Tor và sử dụng công cụ curl để gửi dữ liệu đến các địa chỉ .onion, khiến việc truy vết trở nên khó khăn hơn nhiều.
Điều này đồng nghĩa hacker không chỉ đánh cắp tiền điện tử mà còn có thể điều khiển từ xa máy tính bị nhiễm, tải thêm mã độc mới hoặc tiếp tục giám sát nạn nhân trong thời gian dài.
Microsoft khuyến cáo người dùng nên tắt tính năng AutoPlay trên USB, hạn chế mở các file shortcut lạ và luôn kiểm tra kỹ địa chỉ ví trước khi xác nhận giao dịch. Trong bối cảnh các vụ tấn công nhắm vào tài sản số ngày càng tinh vi, chỉ một cú click bất cẩn cũng có thể khiến toàn bộ ví tiền điện tử “bốc hơi” trong vài giây.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
