Microsoft Peringatkan Malware USB Mencuri Frasa Seed Kripto dan Mengganti Alamat Dompet

Microsoft Defender memperingatkan pada 17 Juni tentang malware baru berbasis USB yang menargetkan pengguna kripto dengan mencuri seed phrase serta mengganti alamat dompet. Malware ini menyebar melalui flashdisk USB dengan file shortcut dan menggunakan komunikasi berbasis Tor untuk menghindari deteksi. Microsoft menyatakan ancaman tersebut mencuri seed phrase BIP39 12 atau 24 kata dan memindai alamat bitcoin, tron, dan monero setiap 500 milidetik untuk mengalihkan transaksi ke dompet yang dikendalikan penyerang.

Malware Replaces Crypto Addresses and Steals Seed Phrases via USB Shortcuts

Tim Microsoft Defender memperingatkan pada posting blog 17 Juni bahwa malware tersebut mengganti file pada perangkat penyimpanan media portabel dengan shortcut (.lnk) yang memicu infeksi saat dijalankan. Malware mengambil langkah pengamanan terhadap pemindaian dan penghapusan oleh perangkat lunak antivirus serta menggunakan komunikasi berbasis Tor yang dianonimkan untuk menghindari deteksi.

Malware menyebar dengan menyalin dirinya ke flashdisk USB apa pun yang dimasukkan ke komputer yang terinfeksi. Malware menjalankan proses yang dapat mengeksekusi berbagai tugas, termasuk mengubah alamat yang disalin pengguna ke papan klip perangkat yang terinfeksi.

Malware terus berjalan pada perangkat yang terdampak dan memindai memori untuk apa yang disebut Microsoft sebagai "artefak keuangan bernilai tinggi". Malware mendeteksi seed phrase BIP39 12 atau 24 kata di data papan klip dan mengirimkannya ke penyerang, bersama dengan lima tangkapan layar untuk memberi konteks tentang isi dompet dan dana.

Crypto clipper memindai alamat bitcoin, tron, dan monero di memori setiap 500 milidetik. Jika ditemukan, malware mengasumsikan pengguna sedang menyalin alamat untuk mengeksekusi transaksi dan mengubahnya menjadi alamat serupa yang berada di bawah kendali penyerang untuk menguasai dana yang dikirim oleh pengguna di perangkat yang terinfeksi.

"Famili malware ini menunjukkan bagaimana pencuri berbasis skrip yang ringan dapat memberikan dampak besar saat dipasangkan dengan komunikasi yang dianonimkan dan penugasan saat runtime," ujar tim Microsoft Defender.

Microsoft Recommends Disabling Autorun and Blocking Shortcuts from Removable Drives

Untuk mengurangi risiko infeksi, tim Microsoft Defender merekomendasikan menonaktifkan autorun untuk konten pada semua media portabel dan memblokir eksekusi shortcut dari drive portabel, yang telah diidentifikasi sebagai vektor utama penyebaran malware.

FAQ

What did Microsoft Defender warn about on June 17? Microsoft Defender memperingatkan tentang malware baru berbasis USB yang mencuri seed phrase BIP39 12 atau 24 kata dan mengganti alamat dompet kripto untuk bitcoin, tron, dan monero guna mengalihkan transaksi ke dompet yang dikendalikan penyerang.

How does the malware propagate to other devices? Malware mengganti file pada perangkat penyimpanan media portabel dengan file shortcut (.lnk) yang memicu infeksi saat dijalankan, dan menyalin dirinya ke flashdisk USB apa pun yang dimasukkan ke komputer yang terinfeksi.

What mitigation steps did Microsoft recommend? Microsoft merekomendasikan menonaktifkan autorun untuk konten pada semua media portabel dan memblokir eksekusi shortcut dari drive portabel, yang merupakan vektor utama penyebaran malware.