Pada Februari 2026, Microsoft Threat Intelligence dan Microsoft Defender Experts menemukan serangan pemotong kripto. Ini adalah kampanye yang dibangun di Windows. Malware ini mengeksploitasi pemegang mata uang kripto melalui pembajakan papan klip dan mencari informasi dompet yang sensitif. Hal ini dilaporkan oleh Microsoft melalui blog mereka.
Penyerang terutama menyebarkan malware ini melalui file pintasan .lnk berbahaya yang didistribusikan pada drive USB. Aktivasi kode berbahaya ini menyebabkan malware melepaskan dua modul. Satu modul menyebarkan malware ke seluruh sistem, sementara yang lainnya beroperasi sebagai pemotong dan pencuri informasi. Microsoft Defender Antivirus mengidentifikasi ancaman ini sebagai Trojan/CryptoBandits.A.
Tidak seperti kebanyakan operasi malware, yang satu ini tidak memerlukan penggunaan penginstal atau server kontrol apa pun karena menggunakan Windows Script Host dan teknologi ActiveX untuk meluncurkan proksi Tor yang dikemas. Kemudian menggunakan proksi SOCKS5 di komputer yang terinfeksi dan kemudian terhubung ke server kontrol, yang berjalan di Layanan Tersembunyi Tor.
Malware Menyambar Informasi Dompet dan Menukar Alamat
Setelah sistem terinfeksi, malware terus melacak konten papan klip apa pun dan mencari frasa pemulihan, kunci pribadi, dan alamat dompet. Menurut Microsoft, malware ini menargetkan secara tepat frasa pemulihan 12 dan 24 kata, kunci pribadi Bitcoin, dan kunci pribadi Ethereum. Malware menukar alamat dompet yang disalin dengan alamat yang dikendalikan oleh penyerang sebelum pengguna menyelesaikan transaksi mereka.
Malware mengambil tangkapan layar dan mengirimkannya melalui koneksi Tor, yang memungkinkan penyerang mendapatkan lebih banyak informasi tentang saldo dompet dan aktivitas pengguna. Juga, Microsoft menyatakan bahwa malware memiliki kemampuan eksekusi kode jarak jauh, memberikan kemungkinan kepada penyerang untuk mengirim instruksi tambahan sambil memastikan persistensi melalui penggunaan tugas terjadwal dan enkripsi bagian-bagian berbahaya dari malware.
Para peneliti mengidentifikasi beberapa indikator kompromi, termasuk eksekusi JavaScript yang mencurigakan, aktivitas proksi localhost:9050, pengambilan tangkapan layar berbasis PowerShell, dan perilaku pemantauan papan klip. Microsoft merekomendasikan agar organisasi menonaktifkan fitur auto-run. Mereka juga akan membatasi interpreter skrip dan pintasan yang dapat dieksekusi dari drive USB, dan memantau aktivitas mencurigakan apa pun terkait hal ini. Kampanye malware ini menegaskan pertumbuhan berkelanjutan penggunaan mata uang kripto di kalangan investor dan pengguna.
Berita Kripto yang Disorot:
Yayasan Ethereum Hadapi Kepergian Lagi karena Hsiao-Wei Wang Mengundurkan Diri
