Sebuah ancaman siber baru yang menargetkan aset kripto telah teridentifikasi, menggunakan teknik canggih untuk mencuri data sensitif pengguna. Malware jenis 'crypto clipper' ini dilaporkan memanfaatkan klien Tor yang disertakan dalam paket instalasinya untuk membangun komunikasi tersembunyi dengan server command-and-control (C2) melalui proxy SOCKS5 lokal. Metode ini dirancang khusus untuk menyembunyikan lalu lintas jaringan dari deteksi keamanan standar sekaligus memfasilitasi eksfiltrasi data.
Fungsi utama dari malware ini adalah memonitor clipboard pengguna setiap 500 milidetik. Begitu mendeteksi adanya alamat dompet kripto yang disalin, malware akan secara otomatis menggantinya dengan alamat dompet milik penyerang. Hal ini menyebabkan dana yang dikirim oleh korban berakhir di tangan pelaku kejahatan, alih-alih ke tujuan yang seharusnya. Selain itu, malware ini juga mampu mencuri tangkapan layar serta data sensitif lainnya seperti kunci privat dan frasa pemulihan (seed phrases).
Selain kemampuan pencurian data, malware ini memiliki fitur propagasi melalui perangkat USB yang mirip dengan perilaku worm. Dengan memanfaatkan media penyimpanan eksternal, malware dapat menyebar ke berbagai komputer lain yang terhubung. Strategi ini memberikan persistensi yang kuat bagi pelaku, memungkinkan mereka untuk terus menginfeksi sistem baru meskipun sistem utama telah dibersihkan atau dipulihkan.
Para pakar keamanan siber menyarankan administrator sistem untuk meningkatkan kewaspadaan terhadap aktivitas mencurigakan. Salah satu indikator utama adalah penggunaan mesin skrip seperti WScript atau CScript yang meluncurkan proses anak seperti curl atau PowerShell. Aktivitas-aktivitas yang tidak lazim ini sering kali menjadi tanda awal bahwa sistem telah terinfeksi oleh skrip berbahaya tersebut.
Langkah mitigasi yang dapat dilakukan meliputi penonaktifan fitur AutoRun pada perangkat removable serta membatasi eksekusi shortcut dari drive eksternal melalui Group Policy. Selain itu, pemantauan ketat terhadap aktivitas jaringan pada localhost port 9050 sangat disarankan. Port tersebut sering digunakan oleh proxy Tor yang tidak sah untuk melakukan eksfiltrasi data keluar dari jaringan perusahaan atau perangkat pribadi.
Keamanan aset digital menjadi semakin krusial di tengah meningkatnya adopsi mata uang kripto. Pengguna dan perusahaan diharapkan untuk selalu memperbarui perangkat lunak keamanan mereka dan menerapkan prinsip 'zero trust' saat menghubungkan perangkat penyimpanan eksternal. Dengan memahami pola serangan ini, diharapkan risiko kehilangan aset digital akibat manipulasi clipboard dapat diminimalisir secara signifikan.