Microsoft baru-baru ini memperingatkan publik tentang ancaman serius terhadap pengguna kripto di seluruh dunia. Raksasa teknologi tersebut mengidentifikasi sebuah malware jenis "crypto clipper" yang telah aktif menyebar sejak Februari 2026 dan secara khusus menargetkan dompet kripto pengguna Windows melalui perangkat USB yang terinfeksi.
Bagaimana Malware CryptoBandits Bekerja
Dalam unggahan blog resmi Microsoft Security pada 17 Juni 2026, perusahaan menjelaskan bahwa malware ini terdeteksi oleh Microsoft Defender Antivirus dengan nama Trojan:Win32/CryptoBandits. Yang membuat ancaman ini sangat berbahaya adalah mekanisme penyebarannya yang menyerupai worm (cacing komputer), di mana perangkat USB yang terinfeksi dapat menularkan malware ke komputer mana pun yang terhubung dengannya, dan sebaliknya, USB bersih yang dicolok ke komputer yang sudah terinfeksi juga akan terkontaminasi.
Proses infeksi dimulai ketika pengguna mencolokkan USB drive yang telah terinfeksi ke komputer Windows. Di dalam USB tersebut terdapat file shortcut (.lnk) berbahaya yang disamarkan dengan nama-nama dokumen biasa seperti file Word, Excel, atau PDF. Ketika pengguna mengklik shortcut tersebut, malware worm langsung terinstal di PC dan mulai menjalankan dua fungsi utama secara bersamaan.
Pencurian Data dan Manipulasi Alamat Wallet
Fungsi pertama adalah pencurian data dompet kripto. Malware ini secara konstan memantau clipboard Windows setiap 500 milidetik — area memori sementara yang digunakan untuk operasi copy-paste. Jika pengguna menyalin seed phrase, private key untuk dompet Bitcoin atau Ethereum, malware akan langsung menangkap data tersebut dan mengirimkannya ke server penyerang melalui jaringan Tor (port 9050), yang menyediakan komunikasi anonim. Tidak hanya itu, malware juga mengambil lima tangkapan layar dengan jeda 10 detik dan mengirimkannya ke penyerang.
Fungsi kedua yang lebih licik adalah kemampuannya mengganti alamat wallet penerima secara diam-diam. Saat pengguna menyalin alamat wallet tujuan untuk mengirim dana, malware secara otomatis mengganti alamat tersebut dengan alamat milik penyerang sebelum pengguna menempelkannya (paste). Akibatnya, dana akan terkirim ke penyerang tanpa indikasi visual apa pun bahwa telah terjadi manipulasi.
Siklus Penyebaran dan Dampaknya
Siklus penyebaran worm ini sangat berbahaya. Ketika USB drive bersih dicolokkan ke komputer yang sudah terinfeksi, malware akan memindai dokumen-dokumen di dalamnya, menghapus file asli, dan menggantinya dengan file shortcut (.lnk) berbahaya yang menggunakan nama yang sama persis. USB tersebut kemudian menjadi pembawa infeksi baru untuk komputer berikutnya, menciptakan rantai penyebaran yang sulit diputus.
Ancaman ini semakin relevan di tengah meningkatnya adopsi aset kripto oleh investor ritel yang sering kali menyimpan seed phrase dan private key di perangkat pribadi tanpa perlindungan memadai. Insiden ini menjadi pengingat bahwa keamanan siber dalam ekosistem kripto tidak hanya bergantung pada kekuatan blockchain itu sendiri, tetapi juga pada kebersihan digital pengguna.
Langkah Mitigasi dari Microsoft
Microsoft telah menerbitkan daftar indikator kompromi (indicators of compromise/IOC) termasuk hash file dan domain .onion yang digunakan sebagai server command-and-control, agar tim keamanan di berbagai organisasi dapat memeriksa jaringan mereka. Perusahaan menyarankan beberapa langkah mitigasi kritis: menonaktifkan fitur AutoRun untuk media yang dapat dilepas, memblokir eksekusi file .lnk pada drive USB melalui group policy, dan membatasi script host seperti wscript.exe dan cscript.exe.
Bagi pengguna kripto di Indonesia, temuan ini menekankan pentingnya menggunakan hardware wallet khusus, tidak menyimpan seed phrase dalam format digital di komputer, dan selalu memverifikasi alamat penerima sebelum mengonfirmasi transaksi. Kewaspadaan terhadap USB drive dari sumber tidak dikenal juga menjadi langkah pencegahan yang sangat krusial.
Sumber: Microsoft Security Blog via CoinDesk
