Malware baru menyerang pengguna cryptocurrency, mencuri kredensial dompet dan data keuangan dengan melewati enkripsi Chrome dan memantau aktivitas clipboard untuk mencegat dan mengalihkan transaksi.
Malware Baru Sedang Menguras Dompet Crypto Melalui Google Chrome
Artikel ini diterbitkan lebih dari setahun yang lalu. Beberapa informasi mungkin sudah tidak terkini.
DITULIS OLEH
BAGIKAN
Malware Baru Menargetkan Pengguna Crypto, Mencuri Kredensial Dompet dan Data Keuangan
Satu trojan akses jarak jauh (RAT) yang baru dikenal, bernama StilachiRAT, secara khusus menargetkan pengguna cryptocurrency dengan mencuri kredensial dompet digital dan mengekstrak data sensitif. Peneliti dari Microsoft Incident Response merinci kapabilitas malware ini dalam sebuah laporan yang diterbitkan pada 17 Maret 2025, menyoroti fokusnya untuk mengkompromikan pengguna Google Chrome yang menyimpan ekstensi dompet cryptocurrency dan kredensial login yang disimpan.
Menurut Microsoft:
StilachiRAT menargetkan daftar ekstensi dompet cryptocurrency tertentu untuk browser Google Chrome.
Malware ini memindai 20 ekstensi dompet berbeda, termasuk Bitget Wallet (sebelumnya Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet untuk Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal, dan Plug, memungkinkan pelaku untuk mengekstrak informasi aset digital.
Selain menargetkan dompet cryptocurrency, StilachiRAT juga mencuri kredensial login yang disimpan dari Google Chrome dengan melewati mekanisme enkripsinya. Laporan tersebut menjelaskan: “StilachiRAT mengekstrak encryption_key Google Chrome dari file keadaan lokal di direktori pengguna. Namun, karena kunci tersebut terenkripsi saat Chrome pertama kali diinstal, ia menggunakan Windows API yang bergantung pada konteks pengguna saat ini untuk mendekripsi kunci master. Ini memungkinkan akses ke kredensial yang disimpan di brankas kata sandi.”
Ini memungkinkan pelaku untuk mengambil nama pengguna dan kata sandi yang terkait dengan akun keuangan, semakin meningkatkan risiko terhadap aset digital korban. Selain itu, StilachiRAT membangun koneksi command-and-control (C2), memungkinkan operator jarak jauh untuk mengeksekusi perintah, memanipulasi proses sistem, dan tetap berkelanjutan bahkan setelah deteksi awal.
Malware ini juga terus memantau data clipboard untuk mengekstrak kunci cryptocurrency dan informasi keuangan sensitif. Laporan Microsoft mencatat:
Pemantauan clipboard berlanjut, dengan pencarian target untuk informasi sensitif seperti kata sandi, kunci cryptocurrency, dan kemungkinan pengenal pribadi.
Dengan memindai pola spesifik yang terkait dengan alamat cryptocurrency, StilachiRAT dapat mencegat dan mengganti alamat dompet yang disalin, mengalihkan transaksi ke tujuan yang dikuasai oleh pelaku. Untuk mengurangi risiko, Microsoft menyarankan pengguna untuk menerapkan langkah-langkah keamanan seperti mengaktifkan perlindungan Microsoft Defender, menggunakan peramban yang aman, dan menghindari unduhan yang tidak terverifikasi. Seiring berkembangnya lanskap ancaman, para ahli keamanan siber mendesak pemegang crypto untuk tetap waspada terhadap malware yang muncul yang dirancang untuk mengeksploitasi aset digital.
