Malware CryptoBandits memungkinkan penjahat menggunakan USB drive Anda untuk mengakses dompet kripto – Microsoft memperingatkan

Penelitian malware kripto terbaru Microsoft menunjukkan dompet kripto, salah satu dari beberapa titik di mana transaksi dapat gagal, sebagai kelemahan praktis utama dalam self-custody.

Mesin Windows yang telah disusupi dapat mengubah alamat yang disalin pengguna, mengekspos seed phrase sebelum transfer ditandatangani, atau mengirimkan tangkapan layar dan konteks dompet kembali ke penyerang.

Dalam laporan Security Blog tanggal 17 Juni, Microsoft menyatakan bahwa malware CryptoBandits, yang terdeteksi sebagai "CryptoBandits.A", telah aktif sejak Februari 2026 dan menyebar ke sistem melalui file pintasan Windows berbahaya pada perangkat penyimpanan USB.

Malware ini juga mencuri rahasia dompet, menukar alamat yang disalin, dan berkomunikasi dengan infrastruktur command-and-control melalui Tor. Microsoft menyatakan bahwa malware ini memantau clipboard sekitar setiap 500 milidetik dan mencari seed phrase, private key, serta alamat dompet.

Hardware wallet, pemeriksaan alamat, dan disiplin seed phrase tetap menjadi kontrol yang diperlukan. Namun jika endpoint yang menangani alur kerja dompet telah disusupi, penyerang dapat melihat rahasia tersebut, mengubah tujuan, atau mengamati layar sebelum pengguna menyadari ada yang salah.

CryptoSlate sebelumnya telah meliput pola pencurian dompet yang berdekatan, termasuk penggantian alamat gaya ClipBanker dan malware dompet yang terkait Microsoft. Elemen baru dalam laporan Microsoft adalah kombinasi penyebaran USB, pencurian clipboard, kontrol yang dirutekan melalui Tor, dan panduan operasional untuk mendeteksi perilaku tersebut.

Bagaimana malware CryptoBandits mengubah pintasan USB menjadi eksekusi

Microsoft menyatakan bahwa akses awal terjadi melalui file .lnk berbahaya, termasuk pintasan yang didistribusikan pada perangkat penyimpanan USB. Dalam kasus yang dianalisis Microsoft, pintasan tersebut menyiapkan komponen worm.

Malware kemudian memindai drive USB untuk file dokumen umum, seperti .doc, .xlsx, dan .pdf, menyembunyikan file aslinya, dan membuat file pintasan baru dengan nama file yang sama.

Hasilnya adalah jebakan yang sudah dikenal: pengguna mengira mereka membuka dokumen dari media yang dapat dipindahkan, tetapi sebenarnya mereka menjalankan payload worm. Perilaku tersebut sesuai dengan pola keamanan yang lebih luas yang dijelaskan MITRE ATT&CK sebagai replikasi melalui media yang dapat dipindahkan, tetapi konsekuensi spesifik kripto lebih langsung.

Mesin yang digunakan untuk menandatangani, menyalin, atau memeriksa detail dompet menjadi bagian dari permukaan serangan.

Setelah pintasan berbahaya berjalan, Microsoft menyatakan bahwa malware menempatkan payload JavaScript yang diobfuskasi di bawah C:\Users\Public\Documents, menggunakan scheduled task untuk persistensi, dan menjaga satu task yang berfokus pada penyebaran ke drive USB yang baru dimasukkan. Task lain menjalankan aktivitas pencurian.

Serangan sering dimulai dengan penanganan file biasa. Drive USB bersama, file yang disalin, atau kebiasaan media yang dapat dipindahkan yang lama dapat menempatkan endpoint penanganan dompet ke dalam kondisi tidak aman sebelum perangkat lunak dompet apa pun dibuka.

Hal itu mengubah penggunaan media yang dapat dipindahkan secara rutin menjadi risiko malware USB bagi perangkat apa pun yang kemudian menyentuh alur kerja dompet.

Namun, metode pencegahan bersifat praktis. Momen berisiko adalah eksekusi pintasan dan persistensi yang mengikutinya, sebelum tindakan dompet dimulai.

Bagi seseorang atau tim yang memindahkan kripto, perangkat yang membuka media yang dapat dipindahkan mungkin juga merupakan perangkat yang kemudian menyalin alamat deposit, menampilkan alur kerja pemulihan, atau mempersiapkan transfer treasury.

Untuk operasi dompet, kebijakan media yang dapat dipindahkan menjadi bagian dari operasi custody. Pengguna atau meja yang memperlakukan workstation penandatanganan sebagai komputer serbaguna mewarisi risiko setiap alur kerja dokumen yang terkait dengan mesin tersebut.

Perangkat yang digunakan untuk aktivitas dompet memerlukan lebih sedikit cara untuk mengeksekusi pintasan, skrip, dan payload yang tidak dipercaya.

Serangan dimulai sebagai masalah pintasan Windows dan kemudian menjadi masalah kontrol dompet. Setelah endpoint disusupi, urutan normal pengguna dalam menyalin alamat, memeriksa layar, dan mempersiapkan transaksi memberikan malware tepat materi yang dirancang untuk diawasi.

Bagaimana malware CryptoBandits menjadikan clipboard sebagai jalur transaksi

Analisis Microsoft menunjukkan mengapa crypto clipper menjadi parah ketika dana di-self-custodied. Setelah mendaftar ke server command-and-control-nya, malware memasuki loop terus-menerus yang memeriksa clipboard sekitar setiap setengah detik.

Malware mencari seed phrase BIP39 12 atau 24 kata, kunci WIF Bitcoin, kunci Ethereum, dan alamat cryptocurrency.

Jika menemukan seed phrase atau private key, Microsoft menyatakan malware dapat menyimpannya secara lokal dan mengeksfiltrasinya melalui Tor. Jika melihat alamat cryptocurrency yang disalin, malware dapat mengganti nilai tersebut dengan alamat yang dikendalikan penyerang.

Untuk beberapa format alamat, Microsoft menyatakan malware mencoba membuat penggantian terlihat cukup mirip agar lolos dari pemeriksaan biasa, seperti mencocokkan karakter pertama dari beberapa alamat Bitcoin, Tron, atau Monero, atau hanya mengubah karakter terakhir pada beberapa alamat Bitcoin gaya Bech32.

Microsoft telah menangani penggantian alamat clipboard sebagai masalah pencurian dompet selama bertahun-tahun. Dalam laporan tahun 2022 tentang cryware dan hot wallet, perusahaan mendeskripsikan clipping dan switching sebagai teknik yang mencegat data dompet sebelum transaksi selesai.

Laporan CryptoBandits.A menunjukkan pola tersebut terkait dengan penyebaran media yang dapat dipindahkan dan lalu lintas perintah berbasis Tor.

Panduan dukungan dompet resmi mempertajam sudut pandang custody. Dokumentasi MetaMask memperlakukan seed phrase dan private key sebagai rahasia kontrol dompet dan secara terpisah memberi tahu pengguna untuk memverifikasi alamat penerima sebelum mengonfirmasi pengiriman.

CryptoBandits.A menargetkan kedua sisi alur kerja tersebut: rahasia yang mengontrol dompet dan alamat yang menerima dana.

Hardware wallet meninggalkan risiko endpoint dalam alur kerja

Ini adalah peringatan endpoint spesifik tentang perangkat di sekitar dompet. Menjaga private key tetap terisolasi tetap menjadi salah satu pertahanan terkuat terhadap banyak serangan dompet umum.

Asumsi yang lemah adalah bahwa perlindungan hardware mencakup setiap langkah dalam transaksi. Hardware wallet dapat melindungi kunci penandatanganan, tetapi tidak dapat membuat clipboard komputer yang telah disusupi menjadi tepercaya. Jika pengguna menyalin alamat deposit bursa, alamat pembayaran, atau alamat transfer treasury pada mesin yang terinfeksi, malware dapat mengubah nilai tersebut sebelum pengguna menempelkannya.

Jika pengguna hanya memeriksa beberapa karakter yang sudah dikenal, alamat pengganti yang dirancang agar terlihat mirip mungkin tetap lolos dari tinjauan yang tergesa-gesa.

Seed phrase menciptakan mode kegagalan yang lebih serius. Frasa pemulihan yang diketik atau disalin melalui mesin Windows yang telah disusupi menjadi risiko kompromi jarak jauh.

Microsoft menyatakan bahwa malware dapat mengidentifikasi frasa bergaya BIP39 dan mengeksfiltrasinya ke server command-and-control. Setelah jenis rahasia itu terekspos, risikonya meluas melampaui satu upaya transfer.

Bagi individu, higienitas dompet sebagian merupakan higienitas perangkat. Untuk dana yang dikelola oleh tim, prosedur custody perlu memperlakukan perilaku endpoint sebagai bagian dari proses persetujuan transaksi.

Mesin yang digunakan untuk memeriksa saldo, mempersiapkan transfer, menjembatani aset, atau memindahkan dana dari bursa harus memiliki profil risiko yang berbeda dari workstation yang juga membuka media yang dapat dipindahkan yang tidak dikenal.

Standar yang berguna adalah pemisahan. Perangkat yang menangani aktivitas dompet harus memiliki lebih sedikit alasan untuk menjalankan skrip, membuka pintasan dari drive USB, atau menyalin materi pemulihan melalui clipboard.

Ketika alur kerja bergantung pada salin-tempel, tujuan yang ditampilkan pada perangkat penandatanganan atau tampilan tepercaya memiliki bobot lebih besar daripada alamat yang ditampilkan di browser atau jendela obrolan.

Jika sebuah workstation dicurigai telah terpapar, responsnya juga berubah. Paparan dapat mencakup lebih dari sekadar alamat yang salah dalam satu transaksi yang tertunda.

Paparan dapat mencakup materi pemulihan, private key, tangkapan layar, dan eksekusi perintah pada mesin yang sama. Hal itu mendorong remediasi ke arah mengisolasi endpoint, merotasi materi dompet yang terpapar, dan meninjau transfer apa pun yang disiapkan pada perangkat tersebut.

Deteksi bergantung pada sinyal perilaku

Panduan mitigasi Microsoft berfokus pada perilaku. Perusahaan merekomendasikan untuk menonaktifkan AutoRun dan AutoPlay untuk media yang dapat dipindahkan, memblokir eksekusi .lnk dari drive yang dapat dipindahkan melalui Group Policy jika memungkinkan, membatasi penggunaan host skrip yang tidak perlu seperti wscript.exe dan cscript.exe, serta meninjau aturan Attack Surface Reduction untuk skrip yang diobfuskasi dan rantai proses anak yang mencurigakan.

Bagi tim keamanan, sinyal terkuat bersifat perilaku. Microsoft menyatakan bahwa para pembela harus menyelidiki kasus di mana mesin skrip meluncurkan alat seperti curl, cmd.exe, PowerShell, atau executable yang tidak terduga.

Microsoft juga menyoroti aktivitas proxy SOCKS5 lokal pada localhost:9050, perilaku terkait clipboard, dan aktivitas tangkapan layar PowerShell pada perangkat yang menangani alur kerja keuangan sensitif.

Sinyal-sinyal tersebut selaras dengan beberapa teknik ATT&CK standar, termasuk pengumpulan data clipboard, command-and-control berbasis proxy, dan persistensi scheduled task.

Microsoft Defender juga mencantumkan kemampuan deteksi untuk CryptoBandits, termasuk Trojan:Win32/CryptoBandits.A dan deteksi JavaScript terkait, beserta cakupan EDR untuk proses JavaScript yang mencurigakan, eksfiltrasi berbasis curl, dan aktivitas Task Scheduler.

Laporan Microsoft tidak mengungkapkan jumlah korban, total pencurian yang dikonfirmasi, distribusi geografis, dan atribusi aktor bernama. Hal itu membatasi klaim apa pun tentang skala kerugian finansial.

Pelajaran custody berdiri di atas perilaku yang diamati: alur kerja dompet dapat disusupi sebelum transaksi mencapai chain.

Kesimpulan langsung adalah bahwa pengguna dan operator kripto harus memperlakukan endpoint sebagai bagian dari tumpukan dompet. Kontrol USB, pembatasan skrip, verifikasi alamat, dan disiplin clipboard merupakan bagian dari keamanan self-custody.

Itulah jalur yang ditempuh transaksi sebelum mencapai chain.

The post CryptoBandits malware lets criminals use your USB drive to access crypto wallets – Microsoft warns appeared first on CryptoSlate.