TechFlow đưa tin, ngày 19 tháng 6, đội Tình báo Đe dọa của Microsoft đã công bố một mối đe dọa phần mềm gián điệp mã hóa clipboard trên Windows, hoạt động từ tháng 2 năm 2026. Phần mềm độc hại này kết hợp ba kỹ thuật: “lan truyền theo kiểu sâu máy tính + chiếm quyền điều khiển clipboard + giao tiếp ẩn danh qua mạng Tor”, nhằm tấn công người dùng tài sản kỹ thuật số.
Theo phân tích của Microsoft, chương trình độc hại này lây lan giữa các thiết bị lưu trữ di động thông qua các tệp lối tắt (.lnk) giả mạo, đồng thời sử dụng WScript và ActiveX để thực thi logic script, tự động triển khai khách hàng Tor cục bộ nhằm đạt được việc điều khiển ẩn danh và gửi dữ liệu trở lại. Chuỗi tấn công bao gồm nhiều khả năng độc hại: liên tục giám sát nội dung clipboard, đánh cắp cụm từ khôi phục (mnemonic phrase) và khóa riêng tư, chụp màn hình để tải lên, đồng thời thực hiện “thay thế địa chỉ” khi người dùng sao chép địa chỉ tiền điện tử—thay thế địa chỉ đích bằng địa chỉ ví do kẻ tấn công kiểm soát, từ đó chiếm đoạt quỹ.
Bên cạnh đó, phần mềm gián điệp này còn có khả năng lan truyền theo kiểu sâu máy tính: tự động sao chép bản thân vào các thiết bị như USB và tạo tác vụ lập lịch để duy trì hoạt động lâu dài; đồng thời sở hữu các khả năng cơ bản chống phân tích (ví dụ: phát hiện Trình quản lý tác vụ nhằm tránh bị gỡ lỗi).
Về mặt phát hiện, Microsoft đã xác định phần mềm này thuộc họ Trojan:Win32/CryptoBandits và chặn nó dựa trên các đặc điểm hành vi (như việc gọi bất thường WScript, lưu lượng proxy đến localhost:9050 và hành vi chụp màn hình bằng PowerShell). Các nhà nghiên cứu an ninh khuyến nghị tập trung bảo vệ các đường dẫn thực thi script cũng như giám sát lưu lượng proxy cục bộ bất thường.
