Microsoft công bố mối đe dọa phần mềm độc hại mã hóa mới: Có thể lây lan thông qua Tor và chiếm đoạt địa chỉ ví

Odaily đưa tin, nhóm tình báo về mối đe dọa của Microsoft chính thức công bố một mối đe dọa phần mềm độc hại mã hóa Windows hoạt động từ tháng 2 năm 2026. Loại phần mềm độc hại này kết hợp "lây lan kiểu sâu + chiếm đoạt clipboard + giao tiếp ẩn danh qua Tor" để tấn công người dùng tài sản số.

Microsoft phân tích chỉ ra rằng chương trình độc hại này lây lan qua các tệp tin lối tắt (.lnk) được ngụy trang trên các thiết bị lưu trữ di động, sử dụng WScript và ActiveX để thực thi logic tập lệnh, tự động triển khai máy khách Tor cục bộ và kết nối thông qua proxy 127.0.0.1:9050 đến máy chủ C2 của dịch vụ ẩn .onion, thực hiện điều khiển ẩn danh và truyền dữ liệu trở lại. Chuỗi tấn công bao gồm nhiều khả năng độc hại: giám sát liên tục nội dung clipboard, đánh cắp cụm từ khôi phục và khóa riêng tư, tải ảnh chụp màn hình lên, và thực hiện "thay thế địa chỉ" khi người dùng sao chép địa chỉ tiền mã hóa, thay thế địa chỉ mục tiêu bằng địa chỉ ví do kẻ tấn công kiểm soát, từ đó chiếm đoạt tiền.

Ngoài ra, phần mềm độc hại này còn có khả năng lây lan kiểu sâu, có thể tự động sao chép chính nó vào các thiết bị như USB và tạo tác vụ theo lịch trình để duy trì hoạt động, đồng thời có khả năng chống phân tích cơ bản (phát hiện Trình quản lý tác vụ để tránh gỡ lỗi).

Về mặt phát hiện, Microsoft đã xác định nó thuộc dòng Trojan:Win32/CryptoBandits và chặn thông qua các đặc điểm hành vi (như gọi WScript bất thường, lưu lượng proxy localhost:9050 và hành vi chụp ảnh màn hình của PowerShell). Các nhà nghiên cứu bảo mật khuyến nghị tập trung bảo vệ đường dẫn thực thi tập lệnh và giám sát lưu lượng proxy bất thường cục bộ.