Security

Infiltrasi via File LNK, Worm USB Sebarkan Clipper Pencuri Kripto Lewat Jaringan Tor

1 hour ago
3 minutes read

Tim peneliti keamanan siber dari Microsoft menerbitkan laporan teknis mengenai kampanye serangan siber aktif yang menyasar para pemilik dompet mata uang kripto (cryptocurrency wallets). Serangan ini digerakkan oleh perangkat lunak berbahaya jenis Worm yang menyebar secara mandiri melalui media penyimpanan USB (Flasdisk) dengan memanfaatkan manipulasi file pintasan LNK (Shortcut) Windows.

Malware ini tidak hanya berfungsi sebagai clipper (pembajak papan klip), melainkan juga bertindak sebagai penguras data (stealer) tingkat lanjut yang menyembunyikan seluruh lalu lintas komunikasi datanya di balik jaringan anonim Tor network (.onion).

Anatomi Infeksi: Taktik Kamuflase File Dokumen dan Propagasi Worm

Berdasarkan analisis alur eksekusi (execution flow) yang dirilis Microsoft, worm ini menerapkan taktik tipu muslihat klasik namun sangat efektif untuk memperluas infeksi:

[ Korban Klik File LNK di USB ] ──► Payload Diunduh dari Alamat .ONION via Tor
                                                │
                                                ▼ (Malware Memindai Hardisk Lokal)
[ Dokumen Asli Disembunyikan ] ──► Diganti File LNK Palsu Berkembar Nama & Ikon Sama
                                                │
                                                ▼
[ Registrasi Scheduled Task  ] ──► Monitor Colokan USB Baru Setiap Detik
                                                │
                                                ▼ (USB Baru Terdeteksi)
[ Penggandaan Mandiri (Worm) ] ──► Salin Diri + Buat File LNK Palsu Baru ke USB Korban
  1. Pemicu Awal: Infeksi bermula ketika korban membuka file pintasan LNK berbahaya di dalam USB. Tindakan ini memicu skrip tersembunyi untuk mengunduh komponen malware tahap lanjutan dari server Command & Control (C2) yang berada di jaringan Tor.
  2. Sistem Manipulasi Berkas: Setelah bersarang di komputer, malware memindai hardisk lokal untuk mencari file-file dokumen kerja. Dokumen asli milik korban kemudian diubah statusnya menjadi tersembunyi (hidden), lalu peretas membuat file LNK palsu dengan nama, ekstensi, dan ikon yang persis sama dengan dokumen asli tersebut. Akibatnya, malware akan kembali tereksekusi setiap kali pengguna mencoba membuka dokumen mereka.
  3. Penyebaran Mandiri via USB: Worm akan mendaftarkan sebuah perintah terjadwal (Scheduled Task) di Windows untuk memantau aktivitas colokan komputer. Begitu ada perangkat penyimpanan USB baru yang terhubung, worm otomatis menggandakan dirinya ke dalam USB tersebut dan menyiapkan file LNK jebakan baru untuk menjaring korban berikutnya.

Komponen Clipper: Sadap Seed Phrase dan Bajak Alamat Dompet Kripto

Untuk menghindari deteksi pengguna, komponen pencuri (data stealer) ini hanya akan berjalan jika mendeteksi bahwa aplikasi Windows Task Manager sedang dalam kondisi tidak aktif. Komunikasi ke server C2 dijembatani oleh file eksekutif Tor internal bernama ugate.exe.

Setiap 0,5 detik sekali, malware akan memindai papan klip (clipboard) komputer korban untuk memburu data-data sensitif berikut:

  • BIP39 Seed Phrases: Frasa pemulihan dompet kripto standar isi 12 kata maupun 24 kata.
  • Kunci Privat: Ethereum private keys dan Bitcoin WIF keys.
  • Alamat Dompet Spesifik: Bitcoin (tipe alamat Legacy, P2SH, Bech32, dan Taproot), Tron (wallet addresses), serta Monero (wallet addresses).

Taktik Kemiripan Karakter (Address Mimicking): Ketika korban menyalin (copy) alamat dompet kripto tujuan, malware akan mendeteksi digit huruf awalan dan akhiran dari alamat tersebut. Selanjutnya, clipper akan mengganti (replace) alamat tersebut dengan alamat dompet milik peretas yang memiliki struktur karakter mirip di bagian depan dan belakangnya. Taktik ini dirancang agar korban tidak menyadari penipuan saat melakukan pengecekan sekilas sebelum menekan tombol kirim (send/transfer).

Pengintaian Visual Terjadwal dan Fitur Eksekusi Kode Jarak Jauh

Selain membajak papan klip, malware ini juga bertindak sebagai mata-mata visual. Sistem diprogram untuk mengambil 5 gambar tangkapan layar (screenshots) setiap 10 detik sekali. Gambar-gambar hasil intaian ini kemudian dikirimkan secara masif ke server peretas menggunakan utilitas transfer data bawaan Windows, curl.

Microsoft juga menemukan adanya modul Remote Code Execution (RCE) yang dikendalikan via instruksi EVAL dari server C2. Jika instruksi ini aktif, malware akan mengunduh skrip berbasis JavaScript berbahaya, menyimpannya ke dalam file bernama cfile, lalu mengeksekusinya secara paksa di komputer korban untuk mengambil alih kendali sistem secara penuh.

Indikator Infeksi (Behavioral Red Flags) untuk Tim IT

Para peneliti Microsoft menegaskan bahwa malware ini sulit dideteksi hanya dengan tanda tangan antivirus tradisional (signature-based) karena strukturnya yang dinamis. Oleh karena itu, tim IT dan administrator jaringan sangat disarankan untuk memantau anomali perilaku (behavioral indicators) sistem berikut:

1. Aktivitas Proses Mencurigakan

  • Adanya lonjakan aktivitas proses tidak wajar pada komponen wscript.exe dan cscript.exe.
  • Adanya peluncuran mendadak dan mencurigakan dari utilitas sistem seperti curl.exe, PowerShell.exe, dan cmd.exe yang memiliki struktur anak proses (child processes) yang tidak biasa.

2. Aktivitas Jaringan Lokal dan Tor

  • Adanya deteksi upaya koneksi jaringan internal menuju alamat localhost:9050 (port standar lokal untuk proxy Tor).
  • Adanya lalu lintas data internet terenkripsi yang mengarah ke jaringan Tor proxy secara konstan dari komputer pengguna biasa.

Sumber: Microsoft Windows Defender Threat Intelligence Group & Cybersecurity Research Report

Tags
1 hour ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button