Phần mềm độc hại CryptoBandits cho phép tội phạm sử dụng ổ USB của bạn để truy cập ví tiền mã hoá – Microsoft cảnh báo

Nghiên cứu mới nhất của Microsoft về phần mềm độc hại Crypto chỉ ra rằng ví Crypto - một trong nhiều điểm có thể xảy ra sự cố trong một giao dịch - là điểm yếu thực tế then chốt trong tự lưu ký,

Một máy Windows bị xâm phạm có thể thay đổi địa chỉ mà người dùng sao chép, để lộ cụm từ khoá trước khi giao dịch được ký, hoặc gửi ảnh chụp màn hình và thông tin ngữ cảnh ví về cho kẻ tấn công.

Trong báo cáo Security Blog ngày 17 tháng 6, Microsoft cho biết phần mềm độc hại CryptoBandits, được phát hiện là "CryptoBandits.A", đã hoạt động từ tháng 2 năm 2026 và xâm nhập vào các hệ thống thông qua các tệp shortcut Windows độc hại trên thiết bị lưu trữ USB.

Phần mềm độc hại này cũng đánh cắp bí mật ví, hoán đổi các địa chỉ đã sao chép và liên lạc với cơ sở hạ tầng command-and-control thông qua Tor. Microsoft cho biết nó giám sát clipboard khoảng mỗi 500 mili giây và tìm kiếm cụm từ khoá, khóa riêng tư và địa chỉ ví.

Ví phần cứng, kiểm tra địa chỉ và kỷ luật với cụm từ khoá vẫn là các biện pháp kiểm soát cần thiết. Nhưng nếu endpoint xử lý quy trình ví bị xâm phạm, kẻ tấn công có thể thấy bí mật, thay đổi đích đến hoặc quan sát màn hình trước khi người dùng nhận ra bất kỳ điều gì bất thường.

CryptoSlate đã từng đưa tin về các mẫu đánh cắp ví liền kề, bao gồm thay thế địa chỉ kiểu ClipBanker và phần mềm độc hại ví liên quan đến Microsoft. Yếu tố mới trong báo cáo của Microsoft là sự kết hợp giữa lan truyền qua USB, đánh cắp clipboard, kiểm soát qua Tor và hướng dẫn vận hành để phát hiện hành vi.

Cách phần mềm độc hại CryptoBandits biến shortcut USB thành công cụ thực thi

Microsoft cho biết quyền truy cập ban đầu xảy ra thông qua các tệp .lnk độc hại, bao gồm các shortcut được phân phối trên thiết bị lưu trữ USB. Trong các trường hợp Microsoft phân tích, shortcut triển khai một thành phần worm.

Phần mềm độc hại sau đó quét ổ USB để tìm các tệp tài liệu phổ biến, chẳng hạn như .doc, .xlsx và .pdf, ẩn các tệp gốc và tạo các tệp shortcut mới với cùng tên tệp.

Kết quả là một cái bẫy quen thuộc: người dùng nghĩ rằng họ đang mở tài liệu từ phương tiện lưu động, nhưng thực ra họ đang khởi chạy payload worm. Hành vi đó tương ứng với mẫu bảo mật rộng hơn mà MITRE ATT&CK mô tả là sao chép thông qua phương tiện lưu động, nhưng hậu quả đặc thù đối với Crypto thì trực tiếp hơn.

Một máy được dùng để ký, sao chép hoặc kiểm tra thông tin ví sẽ trở thành một phần của bề mặt tấn công.

Khi shortcut độc hại chạy, Microsoft cho biết phần mềm độc hại sẽ thả các payload JavaScript bị làm rối vào C:\Users\Public\Documents, sử dụng các tác vụ theo lịch để duy trì, và giữ một tác vụ tập trung vào việc lây lan sang các ổ USB mới được cắm vào. Một tác vụ khác chạy hoạt động đánh cắp.

Cuộc tấn công thường bắt đầu bằng việc xử lý tệp thông thường. Một ổ USB dùng chung, một tệp được sao chép hoặc một thói quen sử dụng phương tiện lưu động cũ có thể đưa một endpoint xử lý ví vào trạng thái không an toàn trước khi bất kỳ phần mềm ví nào được mở.

Điều đó biến việc sử dụng phương tiện lưu động thông thường thành nguy cơ phần mềm độc hại USB cho bất kỳ thiết bị nào sau đó có liên quan đến quy trình ví.

Tuy nhiên, các phương pháp phòng ngừa là thực tế. Thời điểm rủi ro là thực thi shortcut và sự duy trì theo sau đó, trước khi bắt đầu hành động với ví.

Đối với một cá nhân hoặc nhóm di chuyển Crypto, thiết bị mở phương tiện lưu động cũng có thể là thiết bị sau đó sao chép địa chỉ nạp, hiển thị quy trình khôi phục hoặc chuẩn bị giao dịch chuyển ngân quỹ.

Đối với các hoạt động ví, chính sách về phương tiện lưu động trở thành một phần của hoạt động lưu ký. Người dùng hoặc bộ phận coi máy trạm ký là máy tính đa năng sẽ kế thừa rủi ro của mọi quy trình tài liệu liên quan đến máy đó.

Các thiết bị được sử dụng cho hoạt động ví cần ít cách hơn để thực thi các shortcut, script và payload không đáng tin cậy.

Cuộc tấn công bắt đầu như một vấn đề shortcut Windows và sau đó trở thành vấn đề kiểm soát ví. Khi endpoint bị xâm phạm, trình tự thông thường của người dùng gồm sao chép địa chỉ, kiểm tra màn hình và chuẩn bị giao dịch sẽ cung cấp cho phần mềm độc hại chính xác những gì nó được xây dựng để theo dõi.

Cách phần mềm độc hại CryptoBandits biến clipboard thành con đường giao dịch

Phân tích của Microsoft cho thấy tại sao một công cụ clipper Crypto lại trở nên nghiêm trọng khi tiền được tự lưu ký. Sau khi đăng ký với máy chủ command-and-control, phần mềm độc hại bước vào một vòng lặp liên tục kiểm tra clipboard khoảng mỗi nửa giây.

Nó tìm kiếm cụm từ khoá BIP39 gồm 12 hoặc 24 từ, khóa WIF Bitcoin, khóa Ethereum và địa chỉ tiền mã hoá.

Nếu tìm thấy cụm từ khoá hoặc khóa riêng tư, Microsoft cho biết phần mềm độc hại có thể lưu cục bộ và gửi ra ngoài qua Tor. Nếu thấy địa chỉ tiền mã hoá đã sao chép, nó có thể thay thế giá trị đó bằng một địa chỉ do kẻ tấn công kiểm soát.

Đối với một số định dạng địa chỉ, Microsoft cho biết phần mềm độc hại cố gắng làm cho sự thay thế trông đủ giống để thoát khỏi các kiểm tra sơ sài, chẳng hạn như khớp các ký tự đầu tiên của một số địa chỉ Bitcoin, Tron hoặc Monero, hoặc chỉ thay đổi ký tự cuối cùng trong một số địa chỉ Bitcoin theo kiểu Bech32.

Microsoft đã coi việc thay thế địa chỉ clipboard là vấn đề đánh cắp ví trong nhiều năm. Trong báo cáo năm 2022 về cryware và ví nóng, công ty đã mô tả clipping và switching là các kỹ thuật chặn dữ liệu ví trước khi giao dịch hoàn tất.

Báo cáo CryptoBandits.A cho thấy mẫu đó gắn liền với sự lây lan qua phương tiện lưu động và lưu lượng lệnh dựa trên Tor.

Hướng dẫn hỗ trợ ví chính thức làm rõ góc độ lưu ký. Tài liệu của MetaMask coi cụm từ khoá và khóa riêng tư là bí mật kiểm soát ví và riêng biệt yêu cầu người dùng xác minh địa chỉ người nhận trước khi xác nhận giao dịch gửi.

CryptoBandits.A nhắm mục tiêu vào cả hai phía của quy trình đó: bí mật kiểm soát ví và địa chỉ nhận tiền.

Ví phần cứng để lại rủi ro endpoint trong quy trình

Đây là cảnh báo endpoint cụ thể về thiết bị xung quanh ví. Giữ các khóa riêng tư được cách ly vẫn là một trong những biện pháp phòng thủ mạnh nhất chống lại nhiều cuộc tấn công ví phổ biến.

Một giả định yếu là bảo vệ phần cứng bao phủ mọi bước trong giao dịch. Ví phần cứng có thể bảo vệ các khóa ký, nhưng chúng không thể làm cho clipboard của máy tính bị xâm phạm trở nên đáng tin cậy. Nếu người dùng sao chép địa chỉ nạp của sàn giao dịch, địa chỉ thanh toán hoặc địa chỉ chuyển ngân quỹ trên máy bị nhiễm, phần mềm độc hại có thể thay đổi giá trị trước khi người dùng dán vào.

Nếu người dùng chỉ kiểm tra một vài ký tự quen thuộc, một địa chỉ thay thế được thiết kế để trông giống nhau vẫn có thể qua được một lần xem xét vội vã.

Cụm từ khoá tạo ra một chế độ thất bại nghiêm trọng hơn. Một cụm từ khôi phục được gõ vào hoặc sao chép qua máy Windows bị xâm phạm trở thành nguy cơ bị xâm phạm từ xa.

Microsoft cho biết phần mềm độc hại có thể nhận dạng các cụm từ theo kiểu BIP39 và gửi chúng đến máy chủ command-and-control. Khi loại bí mật đó bị lộ, rủi ro kéo dài vượt ra ngoài một lần chuyển giao dịch đơn lẻ.

Đối với cá nhân, vệ sinh ví một phần là vệ sinh thiết bị. Đối với các quỹ được quản lý bởi nhóm, các quy trình lưu ký cần coi hành vi endpoint là một phần của quy trình phê duyệt giao dịch.

Một máy được sử dụng để kiểm tra số dư, chuẩn bị giao dịch chuyển, bridge tài sản hoặc chuyển tiền từ sàn giao dịch nên có hồ sơ rủi ro khác so với một máy trạm cũng mở phương tiện lưu động không rõ nguồn gốc.

Tiêu chuẩn hữu ích là sự phân tách. Thiết bị xử lý hoạt động ví nên có ít lý do hơn để chạy script, mở shortcut từ ổ USB hoặc sao chép tài liệu khôi phục qua clipboard.

Khi một quy trình phụ thuộc vào sao chép và dán, đích đến hiển thị trên thiết bị ký hoặc màn hình đáng tin cậy có giá trị hơn địa chỉ hiển thị trong trình duyệt hoặc cửa sổ chat.

Nếu một máy trạm bị nghi ngờ đã bị lộ, phản ứng cũng thay đổi. Sự lộ lọt có thể bao gồm nhiều hơn chỉ là một địa chỉ xấu trong một giao dịch đang chờ xử lý.

Nó có thể bao gồm tài liệu khôi phục, khóa riêng tư, ảnh chụp màn hình và thực thi lệnh trên cùng một máy. Điều đó đẩy việc khắc phục theo hướng cô lập endpoint, luân chuyển tài liệu ví đã bị lộ và xem xét bất kỳ giao dịch chuyển nào được chuẩn bị trên thiết bị đó.

Phát hiện phụ thuộc vào các tín hiệu hành vi

Hướng dẫn giảm thiểu của Microsoft tập trung vào hành vi. Công ty khuyến nghị vô hiệu hóa AutoRun và AutoPlay cho phương tiện lưu động, chặn thực thi .lnk từ các ổ đĩa lưu động thông qua Group Policy khi có thể, hạn chế sử dụng không cần thiết các máy chủ script như wscript.exe và cscript.exe, và xem xét các quy tắc Attack Surface Reduction cho các script bị làm rối và chuỗi tiến trình con đáng ngờ.

Đối với các nhóm bảo mật, các tín hiệu mạnh nhất là hành vi. Microsoft cho biết những người bảo vệ nên điều tra các trường hợp mà công cụ script khởi chạy các công cụ như curl, cmd.exe, PowerShell hoặc các tệp thực thi không mong đợi.

Công ty cũng chỉ ra hoạt động proxy SOCKS5 cục bộ trên localhost:9050, hành vi liên quan đến clipboard và hoạt động chụp màn hình PowerShell trên các thiết bị xử lý quy trình tài chính nhạy cảm.

Các tín hiệu đó phù hợp với một số kỹ thuật ATT&CK tiêu chuẩn, bao gồm thu thập dữ liệu clipboard, command-and-control dựa trên proxy và duy trì qua tác vụ theo lịch.

Microsoft Defender cũng liệt kê khả năng phát hiện CryptoBandits, bao gồm Trojan:Win32/CryptoBandits.A và các phát hiện JavaScript liên quan, cùng với phạm vi EDR cho các tiến trình JavaScript đáng ngờ, gửi dữ liệu ra ngoài dựa trên curl và hoạt động Task Scheduler.

Báo cáo của Microsoft không tiết lộ số lượng nạn nhân, tổng số tiền bị đánh cắp đã xác nhận, phân bố địa lý và quy kết tác nhân được đặt tên. Điều đó hạn chế bất kỳ tuyên bố nào về quy mô thiệt hại tài chính.

Bài học lưu ký dựa trên hành vi quan sát được: một quy trình ví có thể bị xâm phạm trước khi giao dịch đến chuỗi.

Điều rút ra ngay lập tức là người dùng và người vận hành Crypto nên coi các endpoint là một phần của ngăn xếp ví. Kiểm soát USB, hạn chế script, xác minh địa chỉ và kỷ luật clipboard là một phần của bảo mật tự lưu ký.

Đó là con đường mà một giao dịch đi trước khi đến chuỗi.

The post CryptoBandits malware lets criminals use your USB drive to access crypto wallets – Microsoft warns appeared first on CryptoSlate.