Awas! CoinMiner Malware Menyebar via USB dan Serang Workstation Windows

bacatutorial /

Awas! CoinMiner Malware Menyebar via USB dan Serang Workstation WindowsSerangan malware lewat USB ternyata masih jadi salah satu trik favorit para pelaku kejahatan siber. Belakangan ini, para cybercriminal kembali aktif menyebarkan CoinMiner malware melalui USB drive dan menargetkan workstation Windows, khususnya di wilayah Korea Selatan. Tujuan akhirnya sederhana: memanfaatkan perangkat korban untuk menambang Monero, salah satu jenis cryptocurrency yang terkenal sulit dilacak.

Baca Juga : Add-on Mozilla Jadi Target Phishing, Begini Cara Menghindarinya

Menariknya, kampanye ini bukan sekadar penyebaran malware biasa. Teknik yang digunakan sudah lebih rapi, lebih halus, dan memanfaatkan berbagai file berbahaya seperti VBS, BAT, dan DLL yang bekerja saling menguatkan satu sama lain. Ketiga komponen ini berfungsi menginstal XMRig, perangkat lunak populer yang biasa dipakai untuk mining Monero, langsung ke sistem korban tanpa disadari.

Modus Serangan

Agar terlihat meyakinkan, malware disembunyikan dalam sebuah folder bernama “sysvolume” di dalam USB yang terinfeksi. Sementara itu, pengguna hanya akan melihat sebuah file shortcut bernama “USB Drive.lnk”.

Sekilas, file ini terlihat seperti pintasan ke isi USB seperti biasanya. Namun begitu pengguna mengkliknya, serangkaian proses berbahaya langsung berjalan di latar belakang. Menariknya, shortcut ini tetap membuka folder berisi file asli milik pengguna, sehingga korban tidak merasa ada yang janggal.

Teknik ini membuat infeksi jadi sangat sulit dideteksi, apalagi kalau pengguna tidak terbiasa memeriksa struktur folder atau file tersembunyi. Tim peneliti dari ASEC (AhnLab Security Emergency Response Center) yang pertama kali memperingatkan tentang varian malware terbaru ini dalam analisis ancaman berbasis USB mereka.

Jika ditarik ke belakang, serangan semacam ini sebenarnya bukan hal baru. Versi awalnya sudah sempat muncul pada Februari 2025, dan oleh Mandiant, ancaman tersebut diberi nama DIRTYBULK dan CUTFAIL dalam laporan mereka pada Juli 2025. Versi yang sekarang jelas lebih matang dan lebih sulit dideteksi.

Tahap Infeksi

Tahap Infeksi

Infeksi dimulai ketika korban menjalankan shortcut palsu “USB Drive.lnk”. File tersebut akan mengeksekusi sebuah script VBS dengan nama random, misalnya “u566387.vbs”. Dari sinilah semua proses berikutnya diorkestrasi.

Script VBS tersebut kemudian memanggil file BAT yang bertugas melakukan beberapa operasi penting, seperti:

  • Menambahkan folder tertentu ke daftar exclusion Windows Defender, sehingga antivirus bawaan Windows tidak akan memeriksa file yang dimasukkan ke dalamnya.

  • Membuat folder dengan nama unik (menggunakan spasi di bagian tertentu) di lokasi “C:\Windows \System32\” dengan tujuan membingungkan sistem dan menghindari deteksi otomatis.

  • Menyalin serta mengubah nama file dropper malware menjadi “printui.dll”, lalu memaksanya dijalankan melalui program Windows asli, yaitu “printui.exe”.

Dengan kata lain, malware seolah-olah “menyamar” menjadi bagian dari sistem Windows, sehingga semakin sulit bagi pengguna atau security tools untuk mengenalinya.

Mekanisme Infeksi dan Strategi Bertahan

Mekanisme Infeksi dan Strategi Bertahan

Setelah dropper berhasil dijalankan, malware akan mengatur agar dirinya tetap aktif setiap kali komputer dinyalakan. Caranya adalah dengan mendaftarkan DLL berbahaya ke dalam layanan DcomLaunch, salah satu komponen penting pada Windows.

Ketika sudah mendapatkan pijakan, malware yang kemudian dinamai PrintMiner ini mulai melakukan beberapa aksi tambahan:

  1. Mengubah pengaturan daya sistem supaya komputer tidak masuk mode sleep.
    Hal ini penting karena proses mining hanya berjalan optimal kalau perangkat tetap menyala.

  2. Terhubung ke server command-and-control (C2) untuk mengunduh payload terenkripsi.
    Setelah didekripsi, barulah file XMRig—alat penambang Monero—diinstal dan dijalankan.

XMRig ini dikonfigurasi dengan parameter tertentu, misalnya:

dikonfigurasi dengan parameter tertentu

-o r2.hashpoolpx[.]net:443 –tls –max-cpu-usage=50

Setting tersebut membuat proses mining berjalan stabil dengan pemakaian CPU hanya 50%, sehingga pengguna tidak curiga meskipun ada konsumsi daya yang meningkat.

Teknik Sembunyi

Untuk menghindari deteksi lebih jauh, malware ini memantau aplikasi yang sedang dibuka pengguna. Jika korban membuka game, Process Explorer, Task Manager, atau program monitoring sejenis, XMRig akan otomatis dihentikan sementara. Setelah jendela tersebut ditutup, proses mining akan berjalan kembali seperti biasa.

Strategi ini membuat keberadaan malware hampir tidak terasa. Komputer mungkin terasa sedikit lebih berat, tapi tidak sampai menimbulkan kecurigaan besar dari pengguna awam.

Baca Juga : Peringatan! Albiriox Malware Baru Bisa Kendalikan Android Kamu Secara Penuh

Kenapa USB Masih Jadi Saluran Efektif?

Meski sudah ada banyak bentuk serangan modern, USB tetap jadi media favorit karena:

  • Mudah dibawa & dipinjam-pakai, terutama di lingkungan kantor atau sekolah.

  • Banyak pengguna yang masih mengabaikan file shortcut mencurigakan.

  • USB tidak memerlukan koneksi internet untuk menyebarkan malware.

Kalau dikombinasikan dengan teknik social engineering—misalnya USB yang sengaja “dijatuhkan”—risiko infeksinya meningkat drastis.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *