Microsoft Threat Intelligence dan Microsoft Defender Experts melaporkan adanya malware crypto clipper berbasis Windows yang telah menyerang pengguna sejak Februari 2026. Malware ini menjadi perhatian karena mampu mencuri data clipboard, mengambil seed phrase dan private key, merekam tangkapan layar, serta mengganti alamat dompet kripto yang disalin pengguna.

Ancaman ini terdeteksi oleh Microsoft Defender Antivirus sebagai Trojan:Win32/CryptoBandits.A. Dalam konteks pengguna kripto, malware jenis ini berisiko menyebabkan aset terkirim ke alamat milik pelaku, terutama ketika pengguna melakukan transaksi tanpa memverifikasi ulang alamat wallet sebelum konfirmasi.

Menyebar Lewat Pintasan .lnk dan Perangkat USB

Berdasarkan laporan Microsoft, serangan ini menyebar melalui file pintasan berbahaya dengan ekstensi .lnk, terutama pada perangkat penyimpanan USB. File tersebut dirancang agar terlihat seperti dokumen biasa, sehingga pengguna tidak menyadari bahwa mereka sedang menjalankan payload berbahaya.

Setelah pengguna membuka pintasan tersebut, malware akan menjalankan komponen worm dan stealer pada sistem Windows. Komponen worm berfungsi untuk memperluas penyebaran dengan membuat pintasan tambahan dari file sah yang ditemukan di perangkat. Dengan cara ini, file asli dapat disembunyikan, sementara pengguna hanya melihat shortcut dengan nama yang tampak familiar.

Microsoft juga menyebut malware ini dapat membuat scheduled task untuk mempertahankan persistensi. Artinya, meskipun perangkat di-restart, malware tetap dapat berjalan kembali dan melanjutkan aktivitas pencurian data.

Gunakan Tor, Windows Script Host, dan ActiveX untuk Terhubung ke Server C2

Secara teknis, malware ini tidak bergantung pada installer tradisional atau server command-and-control dengan alamat IP terbuka. Sebaliknya, malware menjalankan proxy Tor yang disertakan di dalam paketnya, lalu merutekan komunikasi melalui local SOCKS5 proxy.

Menurut Microsoft, clipper ini menggunakan Windows Script Host dan ActiveX untuk menjalankan logika serangan. Malware juga meluncurkan binary Tor yang telah diganti namanya menjadi ugate.exe, kemudian terhubung ke server C2 berbasis hidden service.

Metode ini membuat aktivitas malware lebih sulit dilacak karena komunikasi tidak langsung mengarah ke infrastruktur biasa. Dengan menggunakan jaringan Tor, pelaku dapat menyembunyikan lokasi server dan mempertahankan kendali atas perangkat yang sudah terinfeksi.

Selain itu, malware menjalankan pemantauan clipboard secara terus-menerus. Microsoft melaporkan bahwa malware ini memeriksa clipboard sekitar setiap 500 milidetik untuk mencari data bernilai tinggi, termasuk seed phrase, private key, dan alamat dompet kripto.

Risiko Drain Aset Kripto dan Pengalihan Transaksi

Dampak utama dari malware crypto clipper adalah pengalihan transaksi kripto. Ketika pengguna menyalin alamat wallet untuk mengirim aset, malware dapat mengganti alamat tersebut dengan alamat milik pelaku sebelum pengguna menempelkannya ke aplikasi wallet atau exchange.

Risiko ini cukup serius karena alamat wallet kripto biasanya panjang dan sulit diperiksa secara manual. Jika pengguna hanya mengecek beberapa karakter awal atau akhir, alamat palsu yang dibuat mirip dengan alamat tujuan dapat lolos dari perhatian.

Selain mengganti alamat wallet, malware ini juga dilaporkan mampu mencuri seed phrase 12 atau 24 kata serta private key. Jika data tersebut berhasil dicuri, pelaku berpotensi mengambil alih wallet secara penuh dan menguras aset tanpa memerlukan persetujuan tambahan dari korban.

Malware juga dapat mengambil tangkapan layar. Fitur ini memberi pelaku konteks tambahan mengenai aktivitas korban, termasuk aplikasi wallet, exchange, atau data sensitif lain yang sedang terbuka di perangkat.

Pengguna Kripto Perlu Perketat Keamanan Perangkat

Kasus ini menjadi pengingat bahwa keamanan aset kripto tidak hanya bergantung pada blockchain atau smart contract, tetapi juga pada keamanan perangkat yang digunakan pengguna. Wallet non-custodial memang memberikan kendali penuh kepada pemilik aset, namun risiko juga meningkat jika seed phrase, private key, atau perangkat pengguna berhasil dikompromikan.

Untuk mengurangi risiko, pengguna disarankan tidak membuka file dari USB yang tidak dikenal, memverifikasi ulang alamat wallet sebelum mengirim aset, serta menggunakan perangkat yang bersih untuk transaksi bernilai besar. Pengguna juga sebaiknya tidak menyimpan seed phrase dalam bentuk digital, termasuk di clipboard, catatan komputer, screenshot, atau file dokumen.

Langkah mitigasi lain yang dapat dilakukan adalah memperbarui sistem operasi dan antivirus, menonaktifkan AutoRun atau AutoPlay pada media penyimpanan eksternal, serta melakukan pemindaian penuh jika pernah membuka file mencurigakan dari USB. Bagi organisasi, pembatasan eksekusi file .lnk dari removable drive juga dapat menjadi langkah pencegahan tambahan.

Penutup

Temuan Microsoft terhadap Trojan:Win32/CryptoBandits.A menunjukkan bahwa ancaman terhadap pengguna kripto terus berkembang dari sekadar phishing ke serangan yang lebih teknis dan tersembunyi. Dengan memanfaatkan USB, shortcut berbahaya, Tor, dan teknik clipboard hijacking, malware ini dapat mencuri data sensitif sekaligus mengalihkan transaksi tanpa disadari korban.

Bagi pengguna kripto, kebiasaan sederhana seperti mengecek ulang alamat wallet, menjaga perangkat tetap bersih, dan tidak sembarangan membuka file dari media eksternal menjadi langkah penting untuk mencegah aset terkena drain. Dalam ekosistem kripto, keamanan perangkat pribadi tetap menjadi lapisan pertahanan pertama sebelum transaksi masuk ke blockchain.