Dari Peretasan Dompet Hingga Kontrol Jarak Jauh: Microsoft Ungkap Gelombang Baru Malware Kripto yang Menargetkan Pengguna Windows | Metaverse Post

Secara Singkat

Microsoft mengungkapkan kampanye clipper kripto berbasis Windows yang menggunakan infrastruktur berbasis Tor untuk mencuri kredensial dompet, membajak transaksi, dan mempertahankan akses jarak jauh.

Perusahaan teknologi Microsoft melaporkan penemuan kampanye malware clipper cryptocurrency berbasis Windows yang telah menargetkan pengguna sejak Februari 2026. Ancaman ini, yang diidentifikasi oleh Microsoft Threat Intelligence dan Microsoft Defender Experts, menggabungkan pencurian clipboard, penargetan dompet cryptocurrency, dan kemampuan akses jarak jauh untuk mencuri aset digital dan mempertahankan kendali atas sistem yang terkompromi.

Malware ini dirancang untuk menyadap informasi sensitif terkait cryptocurrency, termasuk alamat dompet, frasa benih, dan kunci pribadi. Microsoft mengatakan ancaman ini menyebar terutama melalui file pintasan berbahaya (.lnk) yang didistribusikan melalui perangkat USB yang dapat dilepas. Setelah diaktifkan, malware ini menyebarkan komponen tambahan yang memungkinkan keberlanjutan, pengumpulan data, dan komunikasi dengan infrastruktur yang dikendalikan penyerang.

Berbeda dengan kampanye malware tradisional yang bergantung pada server command-and-control yang terlihat, kampanye ini menggunakan proxy Tor yang dibundel untuk menyembunyikan aktivitas jaringan. Malware meluncurkan klien Tor portabel melalui Windows Script Host dan skrip berbasis ActiveX, mengarahkan komunikasi melalui proxy SOCKS5 lokal sebelum terhubung ke server layanan tersembunyi. Pendekatan ini mengurangi visibilitas dan memungkinkan penyerang mempertahankan akses anonim ke perangkat yang terinfeksi.

Serangan ini menggabungkan dua fungsi utama: komponen penyebaran yang menyebar melalui file yang terinfeksi dan media yang dapat dilepas, serta komponen clipper-pencuri yang fokus pada pencurian cryptocurrency. Malware ini dapat membuat pintasan berbahaya yang tampaknya merujuk pada dokumen yang sah, menyebabkan pengguna tanpa sadar menjalankan kode berbahaya. Malware ini juga membuat tugas terjadwal untuk mempertahankan keberlanjutan dan terus beroperasi setelah reboot sistem.

Generasi Baru Infrastruktur Pencurian Kripto

Malware ini menunjukkan pergeseran menuju ancaman berbasis skrip yang ringan yang menggabungkan pencurian finansial dengan kemampuan backdoor yang lebih luas. Setelah infeksi, malware secara terus-menerus memantau aktivitas clipboard, mencari data terkait cryptocurrency. Ketika pengguna menyalin alamat dompet, malware dapat menggantinya dengan alamat yang dikendalikan penyerang, mengarahkan transaksi tanpa korban segera menyadarinya.

Ancaman ini juga mencari kunci pribadi terkait Bitcoin dan Ethereum serta frasa benih BIP39, yang umum digunakan untuk memulihkan dompet cryptocurrency. Informasi yang ditangkap dikirim ke penyerang melalui saluran berbasis Tor, sementara tangkapan layar dikumpulkan untuk memberikan konteks tambahan tentang aktivitas dompet dan saldo akun.

Microsoft menyoroti bahwa malware ini mencakup kemampuan eksekusi perintah jarak jauh, memungkinkan penyerang mengirim instruksi dan menjalankan kode tambahan pada sistem yang terinfeksi. Ini memperluas ancaman dari sekadar clipper kripto menjadi alat yang fleksibel yang mampu mendukung aktivitas berbahaya lebih lanjut.

Para peneliti keamanan mencatat bahwa kampanye ini sangat bergantung pada indikator perilaku daripada deteksi berbasis file tradisional. Aktivitas mencurigakan termasuk mesin skrip yang meluncurkan proses tak terduga, manipulasi alamat cryptocurrency, tangkapan layar berbasis PowerShell, dan koneksi proxy Tor yang tidak biasa melalui localhost port 9050.

Microsoft Defender Antivirus mendeteksi komponen terkait dari keluarga malware ini dengan penunjukan Trojan:Win32/CryptoBandits.A, sementara Microsoft Defender for Endpoint menyediakan deteksi perilaku tambahan untuk aktivitas skrip yang mencurigakan, upaya eksfiltrasi data, dan eksekusi proses yang tidak normal.

Microsoft menyarankan organisasi untuk memperkuat pertahanan terhadap ancaman media yang dapat dilepas, membatasi eksekusi skrip yang tidak perlu, memantau aktivitas proxy yang mencurigakan, dan menerapkan kontrol keamanan terhadap skrip yang disembunyikan. Perusahaan juga merekomendasikan meninjau perilaku pemantauan clipboard dan menyelidiki sistem di mana alat skrip berinteraksi dengan utilitas komunikasi jaringan.

Penemuan ini menyoroti semakin canggihnya malware yang berfokus pada cryptocurrency, dengan penyerang semakin menggabungkan teknik pencurian dompet otomatis, sistem komunikasi anonim, dan mekanisme akses yang persistens. Seiring aset digital terus terintegrasi ke dalam aktivitas keuangan, tim keamanan diharapkan akan memberi perhatian lebih besar pada perlindungan kredensial dompet dan memantau perilaku yang terkait dengan ancaman target crypto.