Chiến dịch tấn công Crypto Clipper trên Windows
Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết về một hoạt động đánh cắp dữ liệu tiền điện tử tinh vi dựa trên hệ điều hành Windows, hoạt động từ tháng 2 năm 2026. Chiến dịch này sử dụng phần mềm độc hại giám sát clipboard có khả năng tự lan truyền và tận dụng mạng ẩn danh Tor để che giấu cơ sở hạ tầng liên lạc của nó.
Không giống như các hoạt động phần mềm độc hại thông thường dựa vào trình cài đặt tiêu chuẩn hoặc máy chủ điều khiển (C2) công khai, mối đe dọa này triển khai một ứng dụng khách Tor di động và định tuyến tất cả lưu lượng truy cập thông qua máy chủ proxy SOCKS5 cục bộ. Bằng cách kết hợp khả năng đánh cắp tiền điện tử, đánh cắp dữ liệu và thực thi mã từ xa, phần mềm độc hại này không chỉ hoạt động như một công cụ cắt xén mã độc mà còn như một cửa hậu hạng nhẹ.
Mục lục
Cách thức hoạt động của phần mềm độc hại Clipper
Phần mềm độc hại Clipper được thiết kế để âm thầm theo dõi hoạt động sao chép dữ liệu vào clipboard của nạn nhân và chặn các thông tin nhạy cảm được sao chép vào bộ nhớ. Mục tiêu chính của nó là thao túng các giao dịch tiền điện tử bằng cách xác định các địa chỉ ví liên kết với các định dạng blockchain đã biết và thay thế chúng bằng các địa chỉ thay thế do kẻ tấn công kiểm soát. Kết quả là, tiền dành cho người nhận hợp pháp có thể bị chuyển hướng mà nạn nhân không hề hay biết.
Chiến dịch này dựa vào Windows Script Host và các chức năng dựa trên ActiveX để khởi chạy một máy chủ proxy Tor nhúng và liên lạc với máy chủ C2 dịch vụ ẩn. Phần mềm độc hại thực hiện giám sát clipboard liên tục, chụp ảnh màn hình, đánh cắp thông tin liên quan đến tiền điện tử và thay thế địa chỉ ví trong thời gian thực.
Chuỗi lây nhiễm dựa trên USB và chức năng sâu máy tính
Cuộc tấn công bắt đầu bằng việc phát tán các tệp tin Windows Shortcut (LNK) độc hại thông qua các thiết bị lưu trữ USB di động. Khi nạn nhân mở một trong những shortcut này, một thành phần sâu máy tính sẽ được kích hoạt. Phần mềm độc hại trước tiên sẽ xác định xem hệ thống đã bị nhiễm hay chưa và chỉ tải xuống phần mềm độc hại còn lại nếu không phát hiện thấy sự nhiễm trùng nào trước đó.
Phần mềm độc hại LNK chủ động tìm kiếm các thiết bị USB được kết nối để phát hiện các định dạng tài liệu thông dụng, bao gồm các tệp DOC, XLSX và PDF. Sau khi tìm thấy, các tệp này sẽ bị ẩn đi và thay thế bằng các tệp lối tắt độc hại có tên giống hệt. Kỹ thuật đánh lừa này làm tăng khả năng người dùng vô tình thực thi phần mềm độc hại khi cố gắng mở một tài liệu có vẻ hợp pháp.
Ngoài việc gây ra sự xâm nhập ban đầu, sâu máy tính còn chịu trách nhiệm lây lan sang các thiết bị USB chưa bị nhiễm khác. Nó cũng thiết lập khả năng tồn tại lâu dài bằng cách tạo ra các tác vụ theo lịch trình cho cả thành phần sâu máy tính và thành phần đánh cắp dữ liệu.
Né tránh nâng cao và thực thi lệnh liên tục
Thành phần cắt xén sử dụng WScript và ActiveXObject để tương tác trực tiếp với hệ điều hành. Để giảm khả năng bị phát hiện, phần mềm độc hại kiểm tra các tiến trình đang hoạt động và tự chấm dứt nếu Trình quản lý tác vụ đang chạy.
Trong giai đoạn thực thi cuối cùng, một tệp nhị phân Tor đã được đổi tên sẽ được khởi chạy trong một cửa sổ ẩn. Phần mềm độc hại sau đó tạo ra một mã định danh nạn nhân duy nhất và đăng ký mã này với cơ sở hạ tầng từ xa của nó. Sau khi đăng ký, nó đi vào một vòng lặp hoạt động liên tục, liên tục truy vấn máy chủ C2 để nhận lệnh trong khi giám sát nội dung clipboard khoảng 500 mili giây một lần.
Ngoài việc thu thập dữ liệu ví tiền điện tử, cụm từ hạt giống và khóa riêng tư, phần mềm độc hại này còn chụp ảnh màn hình và truyền chúng qua mạng Tor. Nếu máy chủ C2 phản hồi bằng lệnh EVAL, mã do kẻ tấn công cung cấp sẽ được thực thi động trên hệ thống bị xâm nhập, mở rộng đáng kể khả năng của mối đe dọa.
Các chỉ số chính và khuyến nghị phòng ngừa
Các nhóm bảo mật được khuyến cáo nên tập trung vào các kỹ thuật phát hiện hành vi thay vì chỉ dựa vào các chữ ký phần mềm độc hại tĩnh. Cần đặc biệt chú ý đến hoạt động chụp màn hình đáng ngờ dựa trên PowerShell và việc sử dụng bất thường các công cụ kịch bản Windows như WScript hoặc CScript để khởi chạy các tiện ích bao gồm curl, cmd.exe, PowerShell hoặc các tệp thực thi không mong muốn khác.
Các biện pháp phòng vệ được khuyến nghị bao gồm:
- Vô hiệu hóa chức năng Tự chạy và Tự phát cho tất cả các phương tiện lưu trữ di động, chặn việc thực thi tập tin LNK từ các thiết bị USB thông qua Đối tượng Chính sách Nhóm (GPO) và hạn chế việc sử dụng không cần thiết các tập lệnh wscript.exe và cscript.exe.
- Hệ thống giám sát xử lý các hoạt động tài chính hoặc tiền điện tử nhằm phát hiện hoạt động sao chép bất thường, hành vi chụp màn hình trái phép và các liên lạc mạng đáng ngờ liên quan đến Tor.
Vì sao mối đe dọa này lại nổi bật
Chiến dịch này cho thấy sự tinh vi ngày càng tăng của phần mềm độc hại có động cơ tài chính. Bằng cách kết hợp việc phát tán sâu máy tính qua USB, chiếm quyền điều khiển clipboard, mã hóa thông tin liên lạc qua Tor, đánh cắp ảnh chụp màn hình và thực thi mã từ xa vào một bộ công cụ duy nhất, những kẻ điều hành đã tạo ra một mối đe dọa đa năng có khả năng vừa đánh cắp tài sản tiền điện tử vừa duy trì quyền truy cập lâu dài vào các hệ thống bị nhiễm. Việc sử dụng cơ sở hạ tầng dịch vụ ẩn càng làm phức tạp thêm các nỗ lực phát hiện và gỡ bỏ, khiến việc giám sát hành vi chủ động trở thành một chiến lược phòng thủ quan trọng.
