An ninh mạng

Microsoft cảnh báo chiến dịch mã độc Clipper mới: Phát tán qua USB và sử dụng Tor để ẩn danh

Microsoft vừa phát hiện một chiến dịch mã độc Clipper nhắm vào người dùng Windows từ tháng 2/2026. Loại malware này có khả năng tự phát tán qua USB, đánh cắp dữ liệu clipboard và sử dụng mạng Tor để...

Nguyen Hung
20 Tháng 6, 2026 2 Min Read
1 0

Đội ngũ nghiên cứu bảo mật của Microsoft (Microsoft Defender Security Research Team) vừa công bố báo cáo chi tiết về một chiến dịch mã độc Clipper nhắm vào người dùng Windows. Kể từ tháng 2/2026, loại malware này đã liên tục thực hiện các hành vi đánh cắp dữ liệu clipboard, chụp ảnh màn hình và thay thế địa chỉ ví tiền điện tử của nạn nhân.

Table Of Content

Cơ chế lây nhiễm và phát tán

Điểm đáng chú ý của chiến dịch này là khả năng tự phát tán thông qua các thiết bị lưu trữ USB. Mã độc sử dụng các tệp tin Shortcut (LNK) giả mạo. Khi người dùng cắm USB và mở các tệp tin này (vốn được ngụy trang dưới dạng tài liệu DOC, XLSX hoặc PDF), một thành phần worm sẽ được kích hoạt.

Cụ thể, mã độc sẽ ẩn các tệp tin gốc của người dùng và thay thế bằng các tệp LNK có cùng tên. Khi nạn nhân nhấp vào, thay vì mở tài liệu, hệ thống sẽ thực thi mã độc. Worm này cũng thiết lập các tác vụ định kỳ (scheduled tasks) để duy trì sự hiện diện (persistence) trên máy tính nạn nhân.

Sử dụng Tor và kỹ thuật ẩn mình

Khác với các loại malware truyền thống sử dụng hạ tầng C2 dựa trên IP cố định, mã độc này triển khai một client Tor di động và định tuyến lưu lượng truy cập thông qua proxy SOCKS5 cục bộ. Điều này giúp kẻ tấn công che giấu vị trí máy chủ điều khiển (C2) một cách hiệu quả.

Malware hoạt động bằng cách giám sát clipboard với tần suất cao (khoảng 500ms một lần) để tìm kiếm các chuỗi ký tự khớp với định dạng ví tiền điện tử. Nếu phát hiện, nó sẽ thay thế bằng địa chỉ ví của kẻ tấn công. Ngoài ra, nếu nhận được lệnh “EVAL” từ máy chủ C2, mã độc có khả năng thực thi các đoạn mã tùy ý từ xa, biến nó từ một công cụ đánh cắp tài chính thành một dạng backdoor nhẹ.

Để né tránh sự phát hiện, mã độc sẽ tự động dừng hoạt động nếu phát hiện Task Manager đang chạy trên hệ thống.

Khuyến nghị bảo mật

Microsoft khuyến cáo các chuyên gia bảo mật nên tập trung vào việc phát hiện hành vi (behavioral detection) thay vì chỉ dựa vào các chữ ký tĩnh (static signatures). Các dấu hiệu cần lưu ý bao gồm:

  • Sử dụng PowerShell để chụp ảnh màn hình.
  • Việc lạm dụng WScript, CScript hoặc các công cụ script để khởi chạy cmd.exe, PowerShell hoặc các tệp thực thi bất thường.
  • Tắt tính năng AutoRun/AutoPlay trên các thiết bị ngoại vi.
  • Sử dụng Group Policy Objects (GPO) để chặn việc thực thi tệp LNK từ các ổ đĩa rời.
  • Hạn chế quyền thực thi của wscript.exe hoặc cscript.exe nếu không cần thiết.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept