Waspada Malware Cryptominer Menyamar Sebagai Plugin Microsoft Office 

Pelaku kejahatan siber dilaporkan menyusupkan malware pencuri kripto ke dalam ekstensi Microsoft Office palsu yang diunggah ke situs penyedia perangkat lunak SourceForge. 

Dalam temuan yang diungkapkan Kaspersky pada Selasa (8/4/2025), salah satu ekstensi berbahaya yang teridentifikasi bernama “officepackage”, tampak seperti add-in resmi Microsoft Office. Namun di balik tampilannya yang sah, tersembunyi malware bernama ClipBanker. Malware ini bekerja dengan memanfaatkan mengganti alamat wallet kripto yang disalin pengguna di clipboard dengan alamat milik pelaku. 

“Mayoritas pengguna wallet kripto biasanya menyalin alamat daripada mengetiknya secara manual. Jika perangkat sudah terinfeksi ClipBanker, dana bisa saja terkirim ke alamat yang sama sekali berbeda tanpa disadari,” jelas tim Kaspersky. 

Meniru Halaman Developer Resmi 

Halaman ekstensi palsu tersebut dirancang menyerupai laman alat pengembang resmi, lengkap dengan tombol unduhan dan add-in Microsoft. Bahkan, laman ini dapat muncul di hasil pencarian, menambah kemungkinan korban tertipu. 

Menurut Kaspersky, beberapa file yang tersedia dalam unduhan tersebut berukuran sangat kecil, hal yang tidak lazim untuk aplikasi Office, bahkan jika telah dikompresi. Sebagian file lain sengaja dipenuhi dengan data sampah agar terlihat seperti installer asli. 

Selain mencuri kripto, malware ini juga mengirimkan informasi dari perangkat yang terinfeksi, seperti alamat IP, negara, dan nama pengguna, kepada pelaku melalui Telegram. ClipBanker juga memiliki kemampuan mendeteksi apakah ia sudah pernah diinstal di perangkat yang sama atau jika ada software antivirus, dan akan menghapus dirinya secara otomatis jika diperlukan. 

Kaspersky memperingatkan bahwa serangan ini bukan hanya berfokus pada pencurian aset kripto. Akses ke sistem yang sudah terinfeksi bisa saja dijual kepada aktor jahat lain yang berpotensi lebih berbahaya. Malware ini juga menyertakan fitur mining kripto sebagai bagian dari skemanya. 

Menariknya, antarmuka program ini berbahasa Rusia. Kaspersky menduga bahwa target utama serangan ini adalah pengguna berbahasa Rusia, dengan data menunjukkan bahwa 90% calon korban berasal dari Rusia. Sebanyak 4.604 pengguna dilaporkan terpapar malware ini antara awal Januari hingga akhir Maret 2025. 

Tips Mitigasi Insiden 

1. Gunakan Antivirus Terpercaya: Pasang perangkat lunak antivirus atau anti-malware (misalnya, Malwarebytes, Bitdefender) dengan pemindaian real-time untuk mendeteksi dan memblokir skrip atau file cryptomining. 
2. Perbarui Sistem Secara Rutin: Pastikan sistem operasi, browser, dan perangkat lunak selalu diperbarui untuk menutup celah keamanan yang bisa dimanfaatkan malware. 
3. Blokir Skrip Penambangan di Browser: 

• Gunakan ekstensi browser seperti uBlock Origin atau NoScript untuk memblokir skrip berbahaya. 
• Atur browser untuk membatasi JavaScript di situs yang tidak terpercaya. 

1. Pantau Penggunaan Sumber Daya: Periksa penggunaan CPU/GPU yang tidak wajar dengan Task Manager (Windows) atau Activity Monitor (macOS). Penggunaan tinggi terus-menerus bisa jadi tanda adanya miner.  
2. Hindari Unduhan Mencurigakan: Jangan unduh perangkat lunak, torrent, atau lampiran dari sumber yang tidak jelas, karena miner sering tersembunyi di aplikasi bajakan atau email phishing. 
3. Edukasi Pengguna: Latih diri sendiri atau tim untuk mengenali upaya phishing, situs web palsu, atau ekstensi browser yang mencurigakan yang menyebarkan miner. 
4. Cadangkan Data Secara Rutin: Simpan cadangan data terbaru untuk memulihkan sistem jika miner merusak data atau aplikasi di perangkat. 

Source :  

https://coinvestasi[.]com/berita/malware-pencuri-kripto-ekstensi-office-palsu 

https://thehackernews[.]com/2025/04/cryptocurrency-miner-and-clipper[.]html 

https://www[.]bleepingcomputer[.]com/news/security/fake-microsoft-office-add-in-tools-push-malware-via-sourceforge/ 

Sekretariat Jenderal  

Pusat Data dan Teknologi  Informasi