Microsoft Identifikasi Malware Kripto Baru yang Menargetkan Alamat Dompet dan Kunci Pribadi

TheNewsCryptoDipublikasikan tanggal 2026-06-19Terakhir diperbarui pada 2026-06-19

Abstrak

Pada Februari 2026, Microsoft Threat Intelligence menemukan serangan malware kripto yang dinamai Trojan/CryptoBandits.A. Malware ini menyebar melalui file pintasan .lnk berbahaya di drive USB dan mengeksploitasi teknologi Windows Script Host untuk beroperasi tanpa perlu installer atau server kontrol tradisional, menggunakan proxy Tor tersembunyi. Setelah menginfeksi sistem, malware secara konstan memantau isi papan klip (clipboard) untuk mencari frase pemulihan (12 atau 24 kata), kunci privat Bitcoin/Ethereum, dan alamat dompet. Ia mengganti alamat dompet yang disalin pengguna dengan alamat milik penyerang sebelum transaksi diselesaikan. Malware juga mengambil tangkapan layar dan mengirimkannya melalui koneksi Tor, serta memiliki kemampuan eksekusi kode jarak jauh untuk menanamkan perintah tambahan. Microsoft merekomendasikan untuk menonaktifkan fitur auto-run, membatasi eksekusi skrip dari USB, dan memantau aktivitas mencurigakan seperti eksekusi JavaScript, aktivitas proxy localhost:9050, atau perilaku pemantauan clipboard. Kampanye ini menyoroti risiko yang terus berkembang seiring dengan meningkatnya penggunaan mata uang kripto.

Pada Februari 2026, Microsoft Threat Intelligence dan Microsoft Defender Experts menemukan serangan pemotong kripto. Ini adalah kampanye yang dibangun di Windows. Malware ini mengeksploitasi pemegang mata uang kripto melalui pembajakan papan klip dan mencari informasi dompet yang sensitif. Hal ini dilaporkan oleh Microsoft melalui blog mereka.

Penyerang terutama menyebarkan malware ini melalui file pintasan .lnk berbahaya yang didistribusikan pada drive USB. Aktivasi kode berbahaya ini menyebabkan malware melepaskan dua modul. Satu modul menyebarkan malware ke seluruh sistem, sementara yang lainnya beroperasi sebagai pemotong dan pencuri informasi. Microsoft Defender Antivirus mengidentifikasi ancaman ini sebagai Trojan/CryptoBandits.A.

Tidak seperti kebanyakan operasi malware, yang satu ini tidak memerlukan penggunaan penginstal atau server kontrol apa pun karena menggunakan Windows Script Host dan teknologi ActiveX untuk meluncurkan proksi Tor yang dikemas. Kemudian menggunakan proksi SOCKS5 di komputer yang terinfeksi dan kemudian terhubung ke server kontrol, yang berjalan di Layanan Tersembunyi Tor.

Malware Menyambar Informasi Dompet dan Menukar Alamat

Setelah sistem terinfeksi, malware terus melacak konten papan klip apa pun dan mencari frasa pemulihan, kunci pribadi, dan alamat dompet. Menurut Microsoft, malware ini menargetkan secara tepat frasa pemulihan 12 dan 24 kata, kunci pribadi Bitcoin, dan kunci pribadi Ethereum. Malware menukar alamat dompet yang disalin dengan alamat yang dikendalikan oleh penyerang sebelum pengguna menyelesaikan transaksi mereka.

Malware mengambil tangkapan layar dan mengirimkannya melalui koneksi Tor, yang memungkinkan penyerang mendapatkan lebih banyak informasi tentang saldo dompet dan aktivitas pengguna. Juga, Microsoft menyatakan bahwa malware memiliki kemampuan eksekusi kode jarak jauh, memberikan kemungkinan kepada penyerang untuk mengirim instruksi tambahan sambil memastikan persistensi melalui penggunaan tugas terjadwal dan enkripsi bagian-bagian berbahaya dari malware.

Para peneliti mengidentifikasi beberapa indikator kompromi, termasuk eksekusi JavaScript yang mencurigakan, aktivitas proksi localhost:9050, pengambilan tangkapan layar berbasis PowerShell, dan perilaku pemantauan papan klip. Microsoft merekomendasikan agar organisasi menonaktifkan fitur auto-run. Mereka juga akan membatasi interpreter skrip dan pintasan yang dapat dieksekusi dari drive USB, dan memantau aktivitas mencurigakan apa pun terkait hal ini. Kampanye malware ini menegaskan pertumbuhan berkelanjutan penggunaan mata uang kripto di kalangan investor dan pengguna.

Berita Kripto yang Disorot:

Yayasan Ethereum Hadapi Kepergian Lagi karena Hsiao-Wei Wang Mengundurkan Diri

TagBlockchainKriptoMata Uang KriptoMalwareMicrosoftDompet

Pertanyaan Terkait

QMenurut Microsoft, bagaimana malware tersebut menyebarkan dirinya di sistem?

AMalware menyebar di sistem dengan melepaskan dua modul. Satu modul berfungsi untuk menyebarkan malware ke sistem lain, sementara modul lainnya bertindak sebagai clipper dan pencuri informasi.

QInformasi sensitif apa saja yang dicari oleh malware CryptoBandits.A dari clipboard pengguna?

AMalware ini mencari frasa pemulihan 12 dan 24 kata, kunci privat Bitcoin, kunci privat Ethereum, dan alamat dompet digital di clipboard pengguna.

QApa fitur unik dari operasi malware ini dibandingkan dengan operasi malware pada umumnya?

ATidak seperti kebanyakan malware, operasi ini tidak memerlukan installer atau server kontrol biasa. Malware ini menggunakan Windows Script Host dan teknologi ActiveX untuk meluncurkan proxy Tor yang dikemas, lalu terhubung ke server kontrol yang berjalan di Tor Hidden Service melalui proxy SOCKS5.

QTindakan pencegahan apa yang direkomendasikan Microsoft kepada organisasi untuk melindungi diri dari ancaman ini?

AMicrosoft merekomendasikan organisasi untuk menonaktifkan fitur auto-run, membatasi eksekusi skrip dan pintasan yang dapat dieksekusi dari USB drive, serta memantau aktivitas mencurigakan yang terkait dengan perilaku pemantauan clipboard dan pengambilan tangkapan layar melalui PowerShell.

QBagaimana malware ini mengubah alamat dompet yang disalin pengguna?

AMalware ini mengganti alamat dompet yang disalin pengguna dengan alamat yang dikendalikan oleh penyerang sebelum pengguna menyelesaikan transaksi mereka.

Bacaan Terkait

Pantera Capital: Saat Perpetual Futures Menuju Pusat Keuangan, Hyperliquid Berusaha Menampung Segalanya

Perpetual futures (perpetuals) telah berkembang dari fenomena kripto menjadi pergeseran fundamental dalam struktur pasar keuangan global. Kontrak ini tidak memiliki tanggal kedaluwarsa, menggunakan mekanisme funding rate untuk mempertahankan harga mendekati aset dasar, dan menawarkan kemudahan eksekusi, manajemen risiko yang lebih sederhana, serta perdagangan 24/7. Industri aset digital, tanpa beban sistem tradisional, memungkinkan berkembangnya perpetuals. Di ekosistem terdesentralisasi (DEX), Hyperliquid muncul sebagai pemimpin dengan ~40% volume perdagangan perpetual on-chain. Dibangun di blockchain L1 khusus, Hyperliquid menyediakan pengalaman pengguna yang kompetitif dengan CEX. Tahun ini, Hyperliquid memperluas jangkauan melampaui aset kripto ke saham, komoditas, indeks, dan perusahaan privat melalui pendaftaran tanpa izin (HIP-3), merealisasikan visi "menampung semua keuangan." Keunggulan utamanya adalah akses pasar 24/7, termasuk akhir pekan, yang terbukti saat peristiwa geopolitik (konflik Iran) atau pengumuman kebijakan (perak China) terjadi saat pasar tradisional tutup. Hal ini menjadikannya platform penemuan harga paralel. Minat arus utama meningkat: hedge fund tradisional mulai merujuk harganya, CEO ICE menyebut Hyperliquid kompetisi serius, dan DAT yang terdaftar di NASDAQ (PURR) memperkenalkan asetnya ke audiens tradisional. Prospek pertumbuhan Hyperliquid besar, menargetkan TAM yang mencakup forex dan derivatif komoditas senilai triliunan dolar. Risiko utama adalah regulasi, terutama di AS. Namun, perkembangan baru-baru ini dari CFTC, yang menyetujui perpetual berbasis Bitcoin untuk platform teregulasi seperti Kalshi, menandakan pergeseran menuju penerimaan. Intinya, perpetual bergerak ke pusat keuangan global, dan Hyperliquid, menggabungkan keunggulan DeFi dengan produk yang superior, berada di pusat transformasi ini.

链捕手1j yang lalu

Pantera Capital: Saat Perpetual Futures Menuju Pusat Keuangan, Hyperliquid Berusaha Menampung Segalanya

链捕手1j yang lalu

Trading

Spot
活动图片