Microsoft Cảnh Báo Về Mã Độc 'Crypto Clipper' 🐛: Sâu USB Ẩn Mình Qua Tor Tạo Cửa Hậu Dai Dẳng
Theo đội ngũ tình báo mối đe dọa của Microsoft, một chiến dịch mã độc cực kỳ tinh vi đã hoạt động ít nhất từ tháng 2 năm 2026, đặt ra mối đe dọa đáng kể cho cả người dùng tiền mã hóa và các mạng doanh nghiệp. Được các nhà nghiên cứu bảo mật đặt tên là "Crypto Clipper" 🕵️, mã độc này là sự kết hợp của nhiều tính năng nguy hiểm: khả năng tự lây lan như sâu qua USB, hạ tầng điều khiển (C2) ẩn mình qua mạng Tor, chiếm đoạt bảng tạm (clipboard hijacking), theo dõi hình ảnh và khả năng thực thi mã từ xa (RCE).
Sự kết hợp này đã biến một công cụ đánh cắp tiền mã hóa đơn thuần thành một cửa hậu (backdoor) cực kỳ dai dẳng, khó phát hiện và "nhẹ ký" 👻.
Lây Lan Như Sâu Qua USB và Chiếm Đoạt File LNK 🔗
Vector lây nhiễm ban đầu bắt đầu qua các tệp tin phím tắt (shortcut) độc hại của Windows (.lnk) được phân phối trên các thiết bị lưu trữ USB rời. ⚠️
Khi một ổ USB bị nhiễm được cắm vào máy tính mục tiêu và tệp tin shortcut được thực thi, trình tải dựa trên script sẽ khởi chạy. Nó tự kiểm tra xem mã độc đã chạy trên hệ thống hay chưa. Nếu chưa, nó sẽ thiết lập kết nối mạng để tải xuống toàn bộ các module cần thiết.
Để đảm bảo khả năng tồn tại dai dẳng và tiếp tục lây lan: 1. Module sâu sẽ quét bất kỳ thiết bị lưu trữ rời nào mới được cắm vào hoặc đang có sẵn. 🔎 2. Nó sao chép các tệp tin tải độc hại vào các ổ đĩa này. 3. Nó ẩn các tệp tin gốc của người dùng và tạo ra các tệp tin shortcut (.lnk) của Windows với tên và biểu tượng tương tự hoặc trùng khớp, nhằm lừa người dùng thực thi chúng, từ đó tự nhân bản mã độc một cách đệ quy. 😈
Mạng Điều Khiển (C2) Ẩn Danh Qua Máy Khách Tor Tích Hợp 🌐
Điều khiến Crypto Clipper khác biệt so với các mã độc đánh cắp clipboard thông thường là mạng lưới liên lạc mạnh mẽ của nó. Các mã độc truyền thống thường dựa vào các máy chủ C2 dựa trên IP hoặc thuật toán tạo tên miền (DGA) dễ bị chặn hoặc giám sát bởi các bộ lọc bảo mật.
Thay vào đó, Crypto Clipper: - Mang theo một client Tor hoàn chỉnh, có thể chạy di động (portable). 🎒 - Định tuyến tất cả lưu lượng truy cập đi qua một proxy SOCKS5 cục bộ được thiết lập bởi tiến trình Tor di động này. - Giao tiếp độc quyền với các dịch vụ .onion ẩn danh do kẻ tấn công kiểm soát. 👻
Bằng cách sử dụng định tuyến onion, mã độc hoàn toàn che giấu địa chỉ IP của các máy chủ điều khiển của nó. Vì cả IP của người gửi và người nhận đều được ẩn danh, nhật ký mạng không thể dễ dàng xác định vị trí của các máy chủ độc hại, cũng như việc chặn IP đơn giản không thể giảm thiểu mối đe dọa này. 🛡️
Chiếm Đoạt Clipboard Động và Thay Thế Ví Tiền Mã Hóa Lén Lút 💸
Khi đã cư trú trong bộ nhớ hệ thống, module clipper liên tục giám sát bộ đệm clipboard của thiết bị, tìm kiếm các mẫu chuỗi cụ thể: - Cụm Từ Khôi Phục (Seed Phrases) và Khóa Riêng Tư (Private Keys): Nó quét tìm các cụm từ khôi phục tiêu chuẩn 12 hoặc 24 từ. Nếu một cụm từ khôi phục được phát hiện, clipper ngay lập tức thu thập văn bản đó. 🔑 - Theo Dõi Hình Ảnh: Khi phát hiện các mẫu dữ liệu tiền mã hóa nhạy cảm, mã độc sẽ chụp 5 ảnh màn hình trong vòng 10 giây. Điều này cung cấp cho kẻ tấn công ngữ cảnh hình ảnh xung quanh (ví dụ: người dùng đang mở ví, trang web hoặc tài liệu nào khi họ sao chép khóa). 📸 - Thay Thế Địa Chỉ Ví: Mã độc nhắm mục tiêu vào các địa chỉ Monero, Bitcoin và Tron. Khi người dùng sao chép địa chỉ ví đích để gửi tiền, mã độc sẽ chặn clipboard và thay thế bằng một địa chỉ do kẻ tấn công kiểm soát. 🔄 - Mô Phỏng Địa Chỉ Tương Tự: Để ngăn người dùng nhận thấy sự thay đổi, các địa chỉ thay thế được chọn động từ một nhóm địa chỉ đã được biên dịch trước đó để khớp với các ký tự đầu và cuối của địa chỉ gốc (ví dụ: bắt đầu bằng 3-4 ký tự giống nhau và kết thúc bằng 3-4 ký tự giống nhau). Thủ thuật hình ảnh này dễ dàng đánh lừa những người kiểm tra hời hợt. 😈
Cửa Hậu EVAL 🚀: Từ Mã Độc Đánh Cắp Đến Điều Khiển Từ Xa
Khám phá quan trọng nhất của đội ngũ bảo mật Microsoft là sự hiện diện của lệnh tác vụ EVAL.
Ngoài việc trích xuất các địa chỉ ví bị đánh cắp, các phím gõ và ảnh chụp màn hình tới các máy chủ điều khiển .onion, mã độc còn thường xuyên truy vấn máy chủ C2 để nhận hướng dẫn tác vụ. Khi nhận được một payload EVAL, nó có thể thực thi mã JavaScript tùy ý trực tiếp trong ngữ cảnh hệ điều hành mục tiêu. 💻
Khả năng thực thi mã từ xa này đã biến Crypto Clipper thành một cửa hậu hoàn chỉnh, nhẹ và đầy đủ chức năng. Kẻ tấn công có thể sử dụng kênh này để thả thêm các payload khác, chẳng hạn như ransomware, công cụ đánh cắp thông tin đăng nhập (ví dụ: Mimikatz) hoặc các công cụ di chuyển ngang để xâm phạm mạng lưới doanh nghiệp rộng lớn hơn. 💥
Tác Động Lớn Của Mã Độc Đánh Cắp Dựa Trên Script Ẩn Danh 💡
Đội ngũ Tình báo Mối đe dọa của Microsoft đã nhấn mạnh sự thay đổi trong thiết kế mối đe dọa hiện đại: > "Gia đình mã độc này cho thấy cách các mã độc đánh cắp dựa trên script, nhẹ nhàng có thể mang lại tác động lớn, trên toàn doanh nghiệp khi được kết hợp với giao tiếp ẩn danh, bền bỉ và khả năng thực thi tác vụ linh hoạt."
Các tổ chức được khuyến cáo nên hạn chế sử dụng thiết bị lưu trữ USB khi thích hợp, thực thi quét bảo mật điểm cuối trên các phương tiện rời, giám sát các proxy SOCKS5/tiến trình Tor cục bộ bất thường, và kiểm tra lưu lượng truy cập đi ra các cổng vào của Tor. 🛡️