Microsoft đã phát hiện một chiến dịch mã độc nhắm vào người dùng tiền điện tử, có thể đánh cắp seed phrase, thay thế địa chỉ ví và duy trì điều khiển từ xa qua mạng Tor.

Chiến dịch này được gắn với tên Crypto Clipper và được Microsoft Defender nhận diện là Trojan/CryptoBandits.A cùng các biến thể liên quan. Dữ liệu hiện có cho thấy nó kết hợp nhiều kỹ thuật tấn công để đánh vào cả ví cá nhân lẫn hoạt động chuyển tiền.

NỘI DUNG CHÍNH

Crypto Clipper có thể lấy seed phrase, khóa riêng Ethereum và thông tin ví Bitcoin từ clipboard.
Mã độc còn chụp màn hình và thay địa chỉ ví đã sao chép bằng địa chỉ do kẻ tấn công kiểm soát.
Chiến dịch lây qua file .lnk trên USB và dùng Tor để che giấu liên lạc với máy chủ điều khiển.

Mã độc nhắm thẳng vào seed phrase và dữ liệu ví

Crypto Clipper là mã độc chuyên theo dõi clipboard để tìm dữ liệu tiền điện tử có giá trị cao. Microsoft cho biết nó nhắm đến seed phrase 12 và 24 từ, khóa riêng Ethereum và thông tin đăng nhập ví Bitcoin.

Xem thêm: Unibase tăng 20% từ vùng cầu, liệu 0,245 USD tiếp theo?

Khi phát hiện dữ liệu phù hợp, mã độc sẽ gửi chúng ra ngoài qua hạ tầng điều khiển đặt trên Tor. Ngoài ra, nó còn chụp màn hình thiết bị bị nhiễm để tăng khả năng quan sát ví và số dư của nạn nhân.

Điểm nguy hiểm hơn là khả năng thay thế địa chỉ ví đã sao chép bằng một địa chỉ giả mạo hoặc trông rất giống địa chỉ thật. Cơ chế này được ghi nhận trên nhiều mạng blockchain, gồm Bitcoin, Tron và Monero.

USB và file .lnk là điểm khởi phát lây nhiễm

Chiến dịch này lan truyền thông qua các file shortcut Windows (.lnk) độc hại được phát tán qua thiết bị USB. Các file giả mạo này ẩn tài liệu hợp lệ và dùng cùng tên để đánh lừa người dùng.

Khi mở nhầm file tưởng là tài liệu bình thường, mã độc sẽ chạy ở nền và cài thêm thành phần bổ sung. Cách phát tán này khiến nó có tính chất giống một cơ chế lây lan kiểu worm trong môi trường dùng chung thiết bị lưu trữ.

Microsoft cũng cho biết mã độc cài một Tor client di động, chuyển toàn bộ liên lạc qua hidden services và có thể nhận lệnh thực thi mã tùy ý trên máy đã bị xâm nhập. Điều đó giúp kẻ tấn công vừa che giấu hoạt động, vừa duy trì quyền kiểm soát lâu dài.

Xem thêm: Cá voi chốt 1.400 BTC khi Bitcoin gần 61.000 USD, giá trụ vững?

Vì sao chiến dịch này đáng lo với người dùng crypto

Crypto Clipper nguy hiểm vì nó không chỉ đánh cắp dữ liệu, mà còn can thiệp trực tiếp vào thao tác chuyển tiền. Một lần dán địa chỉ ví sai có thể khiến giao dịch đi nhầm sang ví của kẻ tấn công mà người dùng khó nhận ra ngay.

Microsoft cảnh báo rằng sự kết hợp giữa đánh cắp clipboard, chụp màn hình, liên lạc qua Tor và điều khiển từ xa tạo ra cả cơ hội kiếm tiền nhanh lẫn khả năng bám trụ trên thiết bị bị nhiễm. Với người dùng crypto, rủi ro lớn nhất nằm ở việc seed phrase hoặc địa chỉ ví bị lộ trong quá trình thao tác hằng ngày.

Tổng kết

Crypto Clipper cho thấy các chiến dịch nhắm vào crypto ngày càng tập trung vào hành vi sử dụng ví thực tế, đặc biệt là clipboard và seed phrase. Người dùng cần thận trọng với file USB lạ và kiểm tra kỹ địa chỉ ví trước khi xác nhận giao dịch.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.