Ancaman Baru dari Perangkat Fisik
Microsoft mengungkap temuan mengejutkan tentang malware berbahaya yang secara khusus menargetkan pengguna dompet kripto di perangkat Windows. Malware yang dijuluki "crypto clipper" ini telah aktif sejak Februari 2026 dan menyebar melalui perangkat USB yang terinfeksi, menjadikannya ancaman serius yang patut diwaspadai oleh seluruh komunitas kripto.
Tim keamanan Microsoft Defender mengidentifikasi malware ini dengan kode Trojan:Win32/CryptoBandits. Karakteristik uniknya terletak pada metode propagasi mirip worm — malware ini tidak hanya mencuri aset kripto, tetapi juga secara otomatis menginfeksi perangkat USB baru yang terhubung ke komputer yang sudah terinfeksi.
Bagaimana Malware Ini Bekerja
Modus operandi malware ini dimulai ketika pengguna mencolokkan USB drive yang telah terinfeksi ke komputer Windows. USB tersebut berisi file shortcut berbahaya dengan ekstensi .lnk yang tampak seperti dokumen biasa. Begitu pengguna mengeklik shortcut tersebut, worm langsung terinstal ke dalam sistem dan mulai menjalankan dua tugas utama secara bersamaan.
Pertama, malware memonitor clipboard Windows setiap 500 milidetik — area memori sementara yang digunakan untuk operasi salin-tempel. Ketika pengguna menyalin seed phrase dompet kripto, kunci privat untuk dompet Bitcoin atau Ethereum, informasi sensitif tersebut langsung ditangkap dan dikirim ke server penyerang melalui jaringan Tor, overlay komunikasi anonim yang membuat pelacakan menjadi sangat sulit.
Selain mencuri data kredensial, malware juga mengambil lima tangkapan layar dengan jeda sepuluh detik yang juga dikirim ke server penyerang. Ini berarti pelaku tidak hanya mendapatkan akses ke dompet korban, tetapi juga informasi visual tentang aktivitas yang sedang dilakukan pengguna saat itu.
Clipboard Hijacking: Modus Paling Mematikan
Ancaman kedua yang tak kalah berbahaya adalah kemampuan malware untuk mengganti alamat dompet penerima secara diam-diam — teknik yang dikenal sebagai clipboard hijacking. Ketika korban menyalin alamat wallet tujuan untuk mengirim dana, worm secara otomatis menukar alamat tersebut dengan alamat milik penyerang sebelum ditempelkan.
Proses ini terjadi tanpa notifikasi atau peringatan visual apa pun, sehingga pengguna tidak menyadari bahwa dana mereka dialihkan ke dompet pelaku. Teknik ini sangat efektif karena pengguna kripto terbiasa menyalin-tempel alamat wallet yang panjang dan sulit dihafal.
Propagasi Seperti Worm yang Berbahaya
Yang membuat malware ini sangat berbahaya adalah kemampuan propagasinya. Ketika USB drive bersih dicolokkan ke komputer yang sudah terinfeksi, worm akan memindai drive tersebut untuk mencari file dokumen biasa seperti Word, Excel, atau PDF.
Malware kemudian mengganti file-file asli tersebut dengan file shortcut berbahaya yang memiliki nama identik, secara efektif mengubah USB bersih menjadi perangkat penyebar infeksi baru. Siklus ini terus berlanjut setiap kali USB yang terinfeksi digunakan di komputer lain, menciptakan rantai infeksi yang sulit diputus.
Dampak bagi Ekosistem Kripto
Dampak dari temuan ini sangat signifikan bagi ekosistem kripto global. Metode serangan berbasis perangkat keras seperti USB sering kali luput dari perhatian karena pengguna cenderung lebih waspada terhadap ancaman online seperti phishing atau situs palsu. Malware ini mengeksploitasi kepercayaan pengguna terhadap perangkat fisik yang mereka anggap aman.
Langkah Mitigasi dari Microsoft
Microsoft telah merilis serangkaian rekomendasi mitigasi untuk melindungi pengguna dari ancaman ini. Perusahaan menyarankan untuk menonaktifkan fitur AutoRun pada media yang dapat dilepas, memblokir eksekusi file .lnk pada USB drive melalui group policy, serta membatasi script host seperti wscript.exe dan cscript.exe.
Pengguna Microsoft Defender juga dapat menjalankan kueri perburuan untuk memeriksa aktivitas mencurigakan, termasuk koneksi ke proxy Tor lokal pada port 9050. Microsoft juga mempublikasikan daftar indikator kompromi (indicators of compromise) yang mencakup hash file dan domain .onion yang digunakan sebagai server command-and-control.
Kesimpulan dan Rekomendasi
Temuan ini menjadi pengingat keras bahwa keamanan aset kripto memerlukan kewaspadaan multi-layer. Praktik terbaik seperti menggunakan hardware wallet, menghindari penyimpanan seed phrase dalam format digital yang mudah disalin, serta selalu memverifikasi alamat dompet sebelum mengonfirmasi transaksi menjadi semakin krusial di tengah maraknya serangan siber yang semakin canggih.
Sumber: Microsoft Security Blog via CoinDesk
