Microsoft cảnh báo mã độc Clipper mới trên Windows chuyên đánh cắp ví Crypto

Microsoft vừa công bố phát hiện một chiến dịch tấn công mạng mới nhắm vào người dùng Windows bằng loại mã độc chuyên đánh cắp tiền điện tử (crypto clipper), hoạt động liên tục từ tháng 2/2026 đến nay. Theo nhóm Microsoft Threat Intelligence cùng Microsoft Defender Experts, đây là một trong những biến thể clipper tinh vi nhất được ghi nhận gần đây khi không chỉ đánh cắp địa chỉ ví crypto mà còn có khả năng thu thập seed phrase, khóa riêng tư (private key), chụp ảnh màn hình và thực thi mã từ xa theo lệnh của hacker.

Khác với nhiều chiến dịch malware truyền thống vốn sử dụng máy chủ điều khiển (C2) công khai hoặc các bộ cài đặt dễ bị phát hiện, mã độc lần này tận dụng mạng Tor để che giấu toàn bộ hạ tầng điều khiển. Điều này khiến việc truy vết nguồn gốc cuộc tấn công trở nên khó khăn hơn đáng kể đối với các chuyên gia bảo mật.

Theo phân tích của Microsoft, chiến dịch bắt đầu bằng các tệp shortcut độc hại có đuôi “.lnk”. Khi người dùng vô tình mở những tệp này, thiết bị sẽ bị lây nhiễm hai thành phần khác nhau. Thành phần thứ nhất hoạt động như một loại sâu máy tính (worm), có nhiệm vụ tự nhân bản và lan truyền trong hệ thống. Thành phần thứ hai là clipper kiêm stealer, chịu trách nhiệm đánh cắp dữ liệu liên quan đến tiền điện tử.

Sau khi xâm nhập thành công, worm sẽ quét các tệp hợp pháp trên máy tính rồi tạo ra những shortcut giả mạo nhằm tiếp tục phát tán mã độc. Đồng thời, nó triển khai thêm nhiều payload khác và tìm cách loại trừ chúng khỏi quá trình quét của Microsoft Defender nhằm kéo dài thời gian tồn tại trên hệ thống. Mã độc cũng tạo các tác vụ theo lịch (Scheduled Tasks) để đảm bảo tự khởi động lại sau mỗi lần người dùng tắt máy hoặc đăng nhập.

Điểm đáng chú ý nhất nằm ở cơ chế vận hành của clipper. Thay vì sử dụng các chương trình thực thi truyền thống, malware này được xây dựng chủ yếu dựa trên Windows Script Host kết hợp với ActiveXObject để tương tác trực tiếp với hệ điều hành. Việc sử dụng các công cụ sẵn có trong Windows giúp mã độc giảm đáng kể dấu hiệu bất thường và dễ dàng vượt qua một số giải pháp bảo mật cơ bản.

Trước khi bắt đầu hoạt động, malware sẽ tiến hành kiểm tra môi trường nhằm phát hiện các công cụ phân tích. Nếu nhận thấy Task Manager đang chạy, mã độc sẽ tự động dừng hoạt động để tránh bị các nhà nghiên cứu bảo mật theo dõi. Nếu không phát hiện nguy cơ, nó sẽ khởi chạy một phiên bản Tor được đổi tên thành “ugate.exe” trong chế độ ẩn.

Sau khoảng một phút để Tor hoàn tất kết nối tới mạng lưới ẩn danh, malware tạo một mã định danh riêng cho nạn nhân và đăng ký thiết bị bị nhiễm với máy chủ điều khiển nằm trên dịch vụ ẩn của Tor. Từ thời điểm đó, máy tính của nạn nhân trở thành một nút bị kiểm soát từ xa bởi kẻ tấn công.

Microsoft cho biết mã độc liên tục theo dõi clipboard với tần suất khoảng hai lần mỗi giây. Bất kỳ dữ liệu nào được sao chép vào bộ nhớ tạm đều có thể bị kiểm tra. Đặc biệt, malware được lập trình để tìm kiếm các chuỗi ký tự giống seed phrase, private key hoặc địa chỉ ví tiền điện tử.

Khi phát hiện người dùng sao chép địa chỉ ví để thực hiện giao dịch, clipper sẽ âm thầm thay thế bằng địa chỉ ví do hacker kiểm soát. Đây là phương thức tấn công đã gây thiệt hại hàng chục triệu USD cho cộng đồng tiền điện tử trong nhiều năm qua. Chỉ cần người dùng không kiểm tra kỹ địa chỉ nhận trước khi xác nhận giao dịch, toàn bộ số tiền có thể bị chuyển trực tiếp vào ví của kẻ tấn công.

Ngoài việc đánh cắp dữ liệu ví, malware còn có khả năng chụp ảnh màn hình định kỳ và gửi hình ảnh về máy chủ điều khiển thông qua mạng Tor. Điều này giúp hacker thu thập thêm thông tin đăng nhập, nội dung giao dịch hoặc dữ liệu nhạy cảm khác xuất hiện trên màn hình của nạn nhân.

Nguy hiểm hơn, Microsoft phát hiện mã độc hỗ trợ cơ chế thực thi mã từ xa. Nếu máy chủ điều khiển gửi về lệnh đặc biệt, malware có thể tải và chạy mã mới ngay trên thiết bị bị nhiễm. Điều này đồng nghĩa với việc cuộc tấn công không chỉ dừng ở hành vi đánh cắp tiền điện tử mà còn có thể mở đường cho nhiều loại malware khác như ransomware, trojan ngân hàng hoặc công cụ gián điệp.

Các chuyên gia bảo mật đánh giá đây là sự chuyển biến đáng chú ý trong xu hướng tấn công nhắm vào người dùng crypto. Thay vì chỉ tập trung vào việc đánh cắp địa chỉ ví như các clipper truyền thống, những chiến dịch mới đang dần kết hợp nhiều kỹ thuật khác nhau để biến máy tính của nạn nhân thành một cửa hậu hoàn chỉnh.

Trong năm 2025 và nửa đầu năm 2026, số lượng các vụ tấn công liên quan đến seed phrase, ví tiền điện tử và phần mềm độc hại đã gia tăng mạnh trên toàn cầu. Nhiều báo cáo bảo mật cho thấy tin tặc ngày càng tận dụng các công cụ hợp pháp có sẵn trên Windows, PowerShell và các mạng ẩn danh như Tor để che giấu hoạt động của mình. Xu hướng này khiến việc phát hiện malware dựa trên chữ ký truyền thống trở nên kém hiệu quả hơn, buộc các doanh nghiệp phải chuyển sang các giải pháp giám sát hành vi nâng cao.

Microsoft cho biết Microsoft Defender for Endpoint hiện có thể nhận diện nhiều thành phần của chiến dịch này thông qua các cảnh báo liên quan đến tiến trình JavaScript đáng ngờ, hoạt động đánh cắp dữ liệu sử dụng Curl và nhiều hành vi bất thường khác. Trong khi đó, Microsoft Defender Antivirus phát hiện biến thể malware này dưới tên Trojan:Win32/CryptoBandits.A.

Các chuyên gia khuyến nghị người dùng tiền điện tử nên kiểm tra kỹ địa chỉ ví trước khi gửi tài sản, tránh mở các tệp shortcut không rõ nguồn gốc, thường xuyên cập nhật hệ điều hành và sử dụng các giải pháp bảo mật có khả năng giám sát hành vi thay vì chỉ dựa vào cơ chế quét virus truyền thống. Đối với những người nắm giữ lượng tài sản số lớn, việc sử dụng ví cứng và xác minh thủ công địa chỉ nhận trước mỗi giao dịch vẫn là một trong những biện pháp phòng vệ hiệu quả nhất trước các cuộc tấn công clipper ngày càng tinh vi.

Chi tiết: Crypto Clipper uses Tor and worm-like propagation for persistence and control | Microsoft Security Blog