Microsoft Peringatkan Malware Baru Membajak Clipboard Dompet Kripto

Microsoft Threat Intelligence dan Microsoft Defender Experts melaporkan pada 17 Juni bahwa varian malware baru telah menginfeksi perangkat Windows sejak Februari 2026. Ancaman, yang disebut-sebut “clipper” dan kini diberi label oleh Microsoft Defender Antivirus sebagai “Trojan: Win32/CryptoBandits.A,” dirancang untuk menguras kripto pengguna dengan memantau aktivitas papan klip (clipboard). Malware ini bekerja dengan mengawasi clipboard sekitar setiap 500 milidetik dan secara diam-diam menukar alamat dompet kripto dengan alamat yang dikendalikan penyerang ketika pengguna menyalin dan menempelkan detail transaksi. Metode serangan berbasis clipboard ini mengeksploitasi kebiasaan umum menyalin alamat dompet saat transaksi kripto berlangsung, sehingga penyerang dapat mengalihkan dana tanpa sepengetahuan korban.

Microsoft Mengidentifikasi Metode Distribusi Malware

Menurut laporan Microsoft, kampanye ini dimulai dengan file shortcut berbahaya (.lnk) yang didistribusikan di drive penyimpanan USB. Malware ini mengemas dua komponen: komponen worm yang menyebarkan diri dan stealer yang mengumpulkan data dompet. Worm menyembunyikan dokumen yang sah di perangkat USB dan menggantinya dengan shortcut yang disamarkan, sehingga pengguna yang membuka file yang terlihat familiar sebenarnya menjalankan malware tanpa sadar.

Malware ini juga memburu seed phrase dan private key, yaitu kredensial yang membuka dompet kripto. Untuk menjaga persistensi, ia berjalan di jendela yang disamarkan, menyiapkan scheduled tasks, dan mengecualikan file miliknya dari pemindaian Defender. Malware memeriksa apakah Task Manager sedang terbuka dan mematikan diri jika iya, taktik anti-analisis yang dimaksudkan untuk menghindari siapa pun yang menyelidiki perangkat.

CryptoBandits Memanfaatkan Infrastruktur Berbasis Tor

Microsoft menyatakan bahwa CryptoBandits menyebarkan klien Tor portabel dan merutekan lalu lintas melalui proxy lokal untuk mencapai server command-and-control tersembunyi. Desain ini memungkinkannya menggabungkan pencurian data dengan eksekusi kode jarak jauh, mengubah stealer yang mengincar uang menjadi backdoor ringan yang bisa menjalankan perintah tambahan dari penyerang. Infrastruktur berbasis Tor memungkinkan malware mempertahankan komunikasi yang terselubung tanpa bergantung pada installer tradisional atau server yang terekspos.

FAQ

Apa itu malware CryptoBandits yang ditemukan Microsoft?
CryptoBandits, yang diberi label oleh Microsoft Defender Antivirus sebagai “Trojan: Win32/CryptoBandits.A,” adalah varian malware yang memantau aktivitas clipboard sekitar setiap 500 milidetik dan menukar alamat dompet kripto dengan alamat yang dikendalikan penyerang. Microsoft Threat Intelligence dan Microsoft Defender Experts melaporkan pada 17 Juni bahwa ia telah menginfeksi perangkat Windows sejak Februari 2026.

Bagaimana malware CryptoBandits menyebar ke perangkat?
Menurut laporan Microsoft, malware menyebar melalui file shortcut berbahaya (.lnk) yang didistribusikan di drive penyimpanan USB. Komponen worm menyembunyikan dokumen sah di perangkat USB dan menggantinya dengan shortcut yang disamarkan, yang menjalankan malware saat pengguna membuka file yang tampak familiar.

Infrastruktur apa yang digunakan CryptoBandits untuk berkomunikasi?
Microsoft menyatakan bahwa CryptoBandits menyebarkan klien Tor portabel dan merutekan lalu lintas melalui proxy lokal untuk mencapai server command-and-control tersembunyi. Infrastruktur berbasis Tor ini memungkinkan malware mempertahankan kanal komunikasi yang terselubung dan mengeksekusi perintah jarak jauh.