Microsoft cảnh báo malware Crypto Clipper có thể đánh cắp seed phrase và sửa giao dịch ví

Microsoft đã phát hiện một chiến dịch mã độc nhắm vào người dùng tiền điện tử, có thể đánh cắp seed phrase, thay thế địa chỉ ví và duy trì điều khiển từ xa qua mạng Tor.

Chiến dịch này được gắn với tên Crypto Clipper và được Microsoft Defender nhận diện là Trojan/CryptoBandits.A cùng các biến thể liên quan. Dữ liệu hiện có cho thấy nó kết hợp nhiều kỹ thuật tấn công để đánh vào cả ví cá nhân lẫn hoạt động chuyển tiền.

Mã độc nhắm thẳng vào seed phrase và dữ liệu ví

Crypto Clipper là mã độc chuyên theo dõi clipboard để tìm dữ liệu tiền điện tử có giá trị cao. Microsoft cho biết nó nhắm đến seed phrase 12 và 24 từ, khóa riêng Ethereum và thông tin đăng nhập ví Bitcoin.

Khi phát hiện dữ liệu phù hợp, mã độc sẽ gửi chúng ra ngoài qua hạ tầng điều khiển đặt trên Tor. Ngoài ra, nó còn chụp màn hình thiết bị bị nhiễm để tăng khả năng quan sát ví và số dư của nạn nhân.

Điểm nguy hiểm hơn là khả năng thay thế địa chỉ ví đã sao chép bằng một địa chỉ giả mạo hoặc trông rất giống địa chỉ thật. Cơ chế này được ghi nhận trên nhiều mạng blockchain, gồm Bitcoin, Tron và Monero.

USB và file .lnk là điểm khởi phát lây nhiễm

Chiến dịch này lan truyền thông qua các file shortcut Windows (.lnk) độc hại được phát tán qua thiết bị USB. Các file giả mạo này ẩn tài liệu hợp lệ và dùng cùng tên để đánh lừa người dùng.

Khi mở nhầm file tưởng là tài liệu bình thường, mã độc sẽ chạy ở nền và cài thêm thành phần bổ sung. Cách phát tán này khiến nó có tính chất giống một cơ chế lây lan kiểu worm trong môi trường dùng chung thiết bị lưu trữ.

Microsoft cũng cho biết mã độc cài một Tor client di động, chuyển toàn bộ liên lạc qua hidden services và có thể nhận lệnh thực thi mã tùy ý trên máy đã bị xâm nhập. Điều đó giúp kẻ tấn công vừa che giấu hoạt động, vừa duy trì quyền kiểm soát lâu dài.

Vì sao chiến dịch này đáng lo với người dùng crypto

Crypto Clipper nguy hiểm vì nó không chỉ đánh cắp dữ liệu, mà còn can thiệp trực tiếp vào thao tác chuyển tiền. Một lần dán địa chỉ ví sai có thể khiến giao dịch đi nhầm sang ví của kẻ tấn công mà người dùng khó nhận ra ngay.

Microsoft cảnh báo rằng sự kết hợp giữa đánh cắp clipboard, chụp màn hình, liên lạc qua Tor và điều khiển từ xa tạo ra cả cơ hội kiếm tiền nhanh lẫn khả năng bám trụ trên thiết bị bị nhiễm. Với người dùng crypto, rủi ro lớn nhất nằm ở việc seed phrase hoặc địa chỉ ví bị lộ trong quá trình thao tác hằng ngày.

Tổng kết

Crypto Clipper cho thấy các chiến dịch nhắm vào crypto ngày càng tập trung vào hành vi sử dụng ví thực tế, đặc biệt là clipboard và seed phrase. Người dùng cần thận trọng với file USB lạ và kiểm tra kỹ địa chỉ ví trước khi xác nhận giao dịch.