Một mã độc ClipXDaemon Linux mới đã xuất hiện, gây ra mối đe dọa mạng tài chính trực tiếp cho người dùng tiền điện tử trong các môi trường máy tính để bàn dựa trên X11.

Không giống như các loại mã độc truyền thống phụ thuộc vào máy chủ Command-and-Control (C2) để nhận chỉ thị, ClipXDaemon hoạt động hoàn toàn độc lập. Mã độc này lặng lẽ giám sát clipboard cứ 200 mili giây và thay thế các địa chỉ ví hợp pháp bằng địa chỉ do kẻ tấn công kiểm soát.

Tổng quan về ClipXDaemon và cơ chế hoạt động độc lập

Khi được triển khai, mã độc ClipXDaemon chạy hoàn toàn trên máy của nạn nhân mà không cần bất kỳ tín hiệu mạng, lệnh từ xa hay cơ sở hạ tầng bên ngoài nào. Đặc điểm này khiến các biện pháp phòng thủ dựa trên mạng truyền thống trở nên kém hiệu quả, vì không có máy chủ để chặn hay lưu lượng mạng để phân tích.

Việc kiếm tiền diễn ra tại một thời điểm chính xác: khi nạn nhân dán một địa chỉ ví đã sao chép, mã độc sẽ âm thầm hoán đổi nó bằng một địa chỉ ví của kẻ tấn công được mã hóa cứng trước khi giao dịch được xác nhận. Sự thay thế này thường không được người dùng chú ý cho đến khi số tiền của họ đã bị chuyển đi.

Nguồn gốc và liên kết với ShadowHS

Mã độc ClipXDaemon được phát hiện vào đầu tháng 2 năm 2026 thông qua một cấu trúc loader trước đây có liên quan đến ShadowHS. ShadowHS là một mối đe dọa Linux khác được ghi nhận vào tháng 1 năm 2026, được sử dụng để triển khai các công cụ hậu khai thác chống lại môi trường máy chủ.

Cả hai chiến dịch đều sử dụng chung một wrapper dàn dựng được xây dựng bằng bincrypter, một framework mã hóa shell-script mã nguồn mở có sẵn công khai. Bạn có thể tìm hiểu thêm về bincrypter tại GitHub. Việc sử dụng công cụ này cho phép kẻ tấn công che giấu payload ban đầu và làm phức tạp quá trình phân tích. Tuy nhiên, các payload của ClipXDaemon và ShadowHS khác nhau đáng kể về mặt vận hành: ShadowHS nhắm mục tiêu vào máy chủ, trong khi mã độc ClipXDaemon nhắm vào người dùng máy tính để bàn Linux thực hiện giao dịch tiền điện tử.

Việc tái sử dụng các tiện ích mã nguồn mở như bincrypter phản ánh xu hướng ngày càng tăng của kẻ tấn công trong việc cắt giảm chi phí phát triển và làm phức tạp quá trình gán tội, thay vì cho thấy có chung tác giả. Để biết thêm chi tiết về phân tích chuyên sâu của ClipXDaemon, bạn đọc có thể tham khảo báo cáo của Cyble tại Cyble Blog.

Mục tiêu tiền điện tử và kỹ thuật mã hóa nội bộ

Các nhà phân tích của Cyble đã xác định ClipXDaemon nhắm mục tiêu vào tám định dạng tiền điện tử: Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple và TON.

Các mẫu biểu thức chính quy (regex patterns) của ví và địa chỉ thay thế được mã hóa bên trong binary bằng cách sử dụng mã hóa luồng ChaCha20. Kỹ thuật này giúp bảo vệ chúng khỏi các phân tích tĩnh và làm cho việc trích xuất IOC trở nên khó khăn hơn.

Trong quá trình phân tích động, các ví thay thế hoạt động đã được xác nhận cho sáu tài sản. Đối với TON và Ripple, chúng chỉ xuất hiện trong chế độ giám sát mà không có địa chỉ thay thế nào được quan sát. Tại thời điểm phân tích, payload ELF hoàn toàn không bị phát hiện trên VirusTotal.

Cơ chế lây nhiễm và kỹ thuật ẩn mình của ClipXDaemon

ClipXDaemon xâm nhập qua một chuỗi lây nhiễm ba giai đoạn được thiết kế để lại dấu vết tối thiểu, cho thấy đây là một mối đe dọa mạng tinh vi và có chủ ý.

Quá trình bắt đầu bằng một loader được mã hóa do bincrypter tạo ra, lưu trữ một payload được mã hóa nội tuyến. Loader này giải mã và giải mã payload bằng AES-256-CBC.

Sau đó, nó giải nén payload qua gzip và thực thi dropper trung gian trực tiếp thông qua một bộ mô tả tệp

/proc/self/fd

. Điều này có nghĩa là giai đoạn giải mã không bao giờ được ghi ra đĩa, giảm thiểu đáng kể dấu vết pháp y và gây khó khăn cho việc phát hiện dựa trên tệp.

Tạo sự kiên trì và tránh bị phát hiện

Dropper giải mã một binary ELF 64-bit được nhúng và ghi nó vào một tên tệp ngẫu nhiên dưới thư mục

~/.local/bin/

.

Sau đó, nó thêm lệnh thực thi payload vào

~/.profile

, tạo ra sự kiên trì (persistence) được kích hoạt khi đăng nhập mà không yêu cầu quyền root, cron jobs hoặc các dịch vụ hệ thống phức tạp.

Khi hoạt động, payload kiểm tra xem máy chủ hiển thị Wayland có mặt hay không và thoát ngay lập tức nếu phát hiện. Điều này là do kiến trúc bảo mật của Wayland được thiết kế để hạn chế các ứng dụng truy cập clipboard toàn cục của người dùng, một khả năng mà X11 cho phép. Do đó, mã độc ClipXDaemon không thể hoạt động hiệu quả trong môi trường Wayland, nhấn mạnh tầm quan trọng của việc di chuyển sang các nền tảng hiển thị hiện đại hơn để tăng cường an ninh mạng.

Với việc xác nhận môi trường X11, mã độc thực hiện một chuỗi daemonization double-fork. Sau đó, nó đổi tên tiến trình thành

kworker/0:2-events

bằng cách sử dụng

prctl(PR_SET_NAME)

, bắt chước một luồng worker của kernel để tránh bị nghi ngờ trong các danh sách tiến trình thông thường.

Nó thăm dò clipboard cứ 200 mili giây một lần. Khi một chuỗi đã sao chép khớp với một trong tám mẫu ví tiền điện tử được mã hóa, phần mềm cấy ghép sẽ âm thầm thay thế nội dung clipboard bằng một địa chỉ ví của kẻ tấn công được mã hóa cứng trước khi thao tác dán hoàn tất. Cơ chế này diễn ra nhanh chóng và hầu như không thể bị phát hiện bởi người dùng thông thường.

Phòng chống và biện pháp giảm thiểu rủi ro

Để đối phó với mã độc ClipXDaemon và các mối đe dọa tương tự nhắm vào hệ thống Linux, người dùng và quản trị viên hệ thống cần thực hiện các biện pháp phòng ngừa chủ động nhằm tăng cường an ninh mạng và bảo vệ tài sản kỹ thuật số.

Đối với người dùng Linux và tiền điện tử

• Ưu tiên di chuyển từ X11 sang Wayland bất cứ khi nào có thể. Wayland chặn khả năng quét clipboard toàn cầu mà ClipXDaemon dựa vào, cung cấp một lớp bảo vệ nền tảng.
• Thường xuyên kiểm tra thủ công mọi địa chỉ ví trước khi xác nhận giao dịch tiền điện tử. Đây là bước phòng thủ cơ bản nhất và hiệu quả nhất để chống lại các cuộc tấn công chiếm đoạt clipboard.
• Cân nhắc nghiêm túc việc sử dụng ví phần cứng (hardware wallets) hiển thị địa chỉ người nhận độc lập với hệ thống máy chủ, cung cấp một lớp bảo vệ bổ sung chống lại các cuộc tấn công chiếm đoạt clipboard.

Đối với quản trị viên hệ thống và EDR

• Kiểm tra các thay đổi đối với các tệp cấu hình khởi động của người dùng như

  ~/.profile

  và

  ~/.bashrc

  . Bất kỳ mục nhập đáng ngờ nào đều cần được điều tra ngay lập tức.

• Gắn cờ các tệp thực thi mới được tạo ra một cách bất thường bên trong

  ~/.local/bin/

  và điều tra bất kỳ tiến trình nền nào có tên luồng kernel chạy dưới tài khoản người dùng không phải root.

• Các kiểm soát EDR (Endpoint Detection and Response) dựa trên hành vi nên được cấu hình để cảnh báo về các binary ELF được thực thi qua

  /proc/self/fd

  , hiện tượng daemonization double-fork từ các shell người dùng, và việc thăm dò clipboard tần số cao từ các daemon nền.

Việc hiểu rõ về cơ chế hoạt động tinh vi của mã độc ClipXDaemon là rất quan trọng để phát triển và triển khai các chiến lược phòng thủ hiệu quả, đảm bảo an toàn cho tài sản kỹ thuật số trong môi trường Linux trước những mối đe dọa mạng ngày càng phức tạp.