--snip-- Saya sempat menduga hal tsb karena penggunaan perintah copas dengan "klik kanan" mouse, bukan menggunakan keyboard CTRL-C / CTRL-V. Karena "right-click event" bisa dimanipulasi oleh serangkaian perintah javascript[1]. Tetapi ternyata begitu menggunakan perintah keyboard, hasilnya tetap keluar "fake" wallet address.
Berarti malware tersebut menggunakan teknik clipboard hijacking pada tingkat OS/Operating System. Selain itu, malware tersebut mungkin melakukan pengecekan terhadap clipboard (konten yang dicopy/cut oleh user).