Malware Clipper Windows Incar Dompet Kripto Lewat USB, Microsoft Ungkap Modusnya

CLB.my.id - Microsoft mengungkap kampanye malware clipper berbasis Windows yang sudah mengincar pengguna kripto sejak Februari 2026. Modusnya terbilang canggih: malware menyebar lewat file shortcut USB, memantau clipboard setiap 500 milidetik, dan mengganti alamat dompet kripto yang disalin pengguna dengan alamat milik penyerang.

Tim peneliti keamanan Microsoft Defender mengungkap bahwa malware ini tidak bergantung pada installer tradisional atau infrastruktur command-and-control (C2) berbasis IP yang terekspos. Sebaliknya, ia menjalankan klien Tor portabel, merutekan trafik melalui proxy SOCKS5 lokal, dan menggabungkan pencurian data dengan eksekusi kode jarak jauh.

“Clipper dalam kampanye ini mengandalkan Windows Script Host dan logika berbasis ActiveX untuk meluncurkan proxy Tor dan mem-polling server C2 layanan tersembunyi,” kata tim Microsoft Defender dalam analisis yang dipublikasikan pekan ini. “Malware ini melakukan pencurian clipboard berfrekuensi tinggi, eksfiltrasi tangkapan layar, dan substitusi alamat dompet.”

Apa Itu Malware Clipper?

Malware clipper adalah jenis perangkat lunak jahat yang secara diam-diam memantau clipboard pengguna dan mencegat data sensitif yang ditempelkan ke buffer sementara. Target utamanya adalah transaksi kripto. Malware ini mengganti string alamat dompet yang cocok dengan pola alamat blockchain tertentu, lalu mengalihkannya ke alamat di bawah kendali penyerang.

Serangan dimulai dari distribusi file shortcut Windows berbahaya (LNK) melalui perangkat penyimpanan USB. Saat file shortcut dibuka, komponen worm langsung aktif dan memeriksa apakah mesin sudah terinfeksi. Jika belum, worm mengambil payload dari server jarak jauh.

Modus Penyebaran Lewat USB

Modus penyebaran malware ini memanfaatkan kebiasaan pengguna yang sering membuka file dari USB tanpa curiga. Payload LNK memindai perangkat USB untuk mencari dokumen dengan format umum seperti DOC, XLSX, dan PDF. Jika ditemukan, dokumen asli disembunyikan dan digantikan file shortcut baru dengan nama yang sama.

File shortcut palsu ini mengandung argument yang mengarah ke komponen worm. Ketika pengguna membuka shortcut, mengira sedang membuka dokumen biasa, eksekusi malware justru terpicu. Worm juga memastikan penyebaran ke drive USB lain yang belum terinfeksi.

Selain itu, worm menjadwalkan tugas terencana (scheduled task) sebagai mekanisme persistensi untuk komponen worm maupun komponen stealer. Ini memastikan malware tetap aktif bahkan setelah sistem di-restart.

Teknik Deteksi Evasion yang Canggih

Clipper menggunakan WScript dan ActiveObject untuk berinteraksi dengan sistem operasi. Yang menarik, malware ini langsung keluar jika mendeteksi Task Manager sedang berjalan di antara daftar proses aktif. Teknik ini memungkinkan malware menghindari deteksi saat pengguna atau tim keamanan sedang memeriksa proses yang berjalan.

Pada tahap akhir, malware meluncurkan binary Tor yang telah diganti namanya di jendela tersembunyi, menghasilkan pengenal korban unik, dan mendaftarkannya ke server eksternal. Setelah langkah ini selesai, malware memasuki loop berkelanjutan yang secara berkala mem-polling server C2 untuk instruksi sambil memantau clipboard sekitar setiap 500 milidetik.

“Malware ini juga membajak alamat kripto dengan mengganti nilai dompet yang disalin dengan alternatif yang dikendalikan penyerang dan mengunggah tangkapan layar melalui Tor,” jelas Microsoft. “Jika C2 mengembalikan respons EVAL, malware mengeksekusi kode yang disuplai penyerang secara runtime.”

Rekomendasi Microsoft untuk Mitigasi

Microsoft merekomendasikan agar tim pertahanan memprioritaskan deteksi perilaku dibandingkan tanda tangan statis. Beberapa indikator yang perlu diwaspadai meliputi penggunaan berbasis PowerShell untuk tangkapan layar dan penggunaan WScript, CScript, atau mesin skrip terkait untuk meluncurkan curl, cmd.exe, PowerShell, atau executable yang tidak terduga.

Langkah mitigasi lainnya termasuk menonaktifkan AutoRun dan AutoPlay untuk semua media yang dapat dilepas, memblokir eksekusi LNK dari drive yang dapat dilepas melalui Group Policy Objects, membatasi penggunaan wscript.exe atau cscript.exe yang tidak perlu, serta meninjau perilaku terkait clipboard dan tangkapan layar pada perangkat yang menangani alur kerja keuangan sensitif.

Ancaman ini menjadi pengingat bahwa serangan siber terhadap aset kripto terus berevolusi. Pengguna yang menyimpan aset digital di dompet lokal perlu ekstra waspada terhadap perangkat USB yang dicolokkan ke komputer mereka.***