ASIAWORLDVIEW – Malware yang menyebar melalui flashdisk telah menginfeksi komputer pribadi berbasis Windows. Kemudian menargetkan dompet kripto sejak Februari.
Microsoft memperingatkan malware tersebut sebagai “crypto clipper”. Defender Antivirus-nya mengidentifikasinya sebagai Trojan:Win32/CryptoBandits.
Prosesnya dimulai dengan stik USB yang terinfeksi yang berisi file pintasan (shortcut) atau tautan berbahaya. Di Windows, nama file pintasan berakhiran “.lnk” dan mengarahkan sistem operasi untuk membuka program, folder, atau file tertentu yang tersimpan di tempat lain di komputer Anda.
Ketika pengguna mencolokkan stik USB tersebut dan mengklik pintasan tersebut, sebuah jenis malware yang dikenal sebagai “worm” diinstal ke dalam PC. Setelah terinstal, malware tersebut melakukan dua hal: secara terus-menerus menjalankan kode pencurian dompet kripto dan sekaligus menunggu drive USB baru yang bersih disambungkan ke PC yang sama.
Baca Juga: Google: Malware Baru Gunakan AI untuk Hasilkan Kode Berbahaya Secara Real-Time
Komponen pencurian dompet memantau clipboard Windows—memori sementara tersembunyi yang digunakan untuk operasi salin-tempel—sekitar setiap 500 milidetik. Ketika pengguna menyalin frasa benih dompet kripto atau kunci pribadi untuk dompet Bitcoin atau Ethereum, malware tersebut menangkap data tersebut dan mengirimkannya ke server penyerang melalui jaringan Tor, sebuah overlay sumber terbuka yang menyediakan komunikasi anonim. Malware tersebut juga mengambil lima tangkapan layar, dengan selang waktu sepuluh detik, dan mengirimkannya juga.
Jika pengguna menyalin alamat penerima untuk mengirim dana, worm ini diam-diam menggantinya dengan alamat yang dikendalikan penyerang sebelum pengguna menempelkannya, sehingga transfer dana dikirim ke penyerang tanpa tanda-tanda yang terlihat.
Terakhir, worm ini menyebar ketika drive USB yang bersih dicolokkan ke komputer. Ia memindai drive USB tersebut untuk mencari file biasa, seperti dokumen Word, lembar kerja Excel, dan PDF, menggantinya dengan file pintasan baru yang menggunakan nama yang sama, dan menginfeksi drive tersebut. Kemudian siklus ini berlanjut.
Microsoft merekomendasikan untuk menonaktifkan fitur AutoRun pada media yang dapat dilepas, memblokir eksekusi berkas .lnk pada drive USB melalui kebijakan grup, serta membatasi host skrip seperti wscript.exe dan cscript.exe. Pengguna Microsoft Defender juga dapat menjalankan kueri pemantauan untuk memeriksa aktivitas terkait, termasuk koneksi ke proxy Tor lokal pada port 9050.
Microsoft telah menerbitkan daftar indikator kompromi, termasuk hash file dan domain .onion yang digunakan sebagai server perintah dan kontrol, agar tim keamanan dapat memeriksa jaringan mereka.
