Гражданин Литвы был арестован по подозрению в причастности к заражению 2,8 миллиона систем вредоносным ПО, крадущим содержимое буфера обмена и замаскированным под инструмент KMSAuto для нелегальной активации Windows и Office.
29-летний мужчина был экстрадирован из Грузии в Южную Корею по соответствующему запросу при содействии Интерпола.
По данным Национального полицейского агентства Кореи, подозреваемый использовал KMSAuto, чтобы заставить жертв загрузить вредоносный исполняемый файл, который сканировал буфер обмена на наличие криптовалютных адресов и заменял их адресами, контролируемыми злоумышленником. Это вредоносное ПО известно как «клиппер».
По данным Национального полицейского управления Кореи, подозреваемый добавил в инструмент KMSAuto вредоносное ПО, которое проверяло содержимое буфера обмена на наличие криптовалютных адресов и меняло адрес назначения на тот, который контролировал злоумышленник. Этот тип вредоносного ПО называется clipper.
«С апреля 2020 года по январь 2023 года хакер распространил по всему миру 2,8 миллиона копий вредоносного ПО, замаскированного под нелегальную программу для активации лицензии Windows (KMSAuto)», — сообщает полиция.
«С помощью этого вредоносного ПО хакер похитил виртуальные активы на сумму около 1,7 млрд вон ($1,2 млн) в ходе 8400 транзакций у пользователей с 3100 адресами виртуальных активов».
Полиция начала расследование в августе 2020 года после сообщения о криптоджекинге, когда система жертвы была заражена вредоносным ПО, которое подменяло адрес кошелька получателя платежа и перенаправляло его злоумышленнику.
Обзор атаки
Источник: police.go.kr
В ходе расследования было обнаружено вредоносное ПО, проникшее через упомянутый инструмент KMSAuto. По данным следователей, вирус атаковал как минимум шесть криптовалютных бирж.
После отслеживания похищенных сумм и установления личности преступника в декабре 2024 года в Литве был проведён рейд, в ходе которого были конфискованы 22 предмета, в том числе ноутбуки и мобильные телефоны.
При осмотре изъятых предметов были обнаружены улики, которые в конечном итоге привели к аресту хакера в апреле 2025 года, когда он ехал из Литвы в Грузию.
Полиция Южной Кореи напоминает общественности, что использование нелегального программного обеспечения, нарушающего авторские права, сопряжено с риском, поскольку такие программы могут содержать вредоносное ПО.
Этот тип утилит часто использовался для распространения вредоносного ПО. Недавно киберпреступники использовали инструмент Microsoft Activation Scripts (MAS) для распространения скриптов PowerShell, которые доставляли вредоносное ПО Cosmali Loader.
Рекомендуется избегать использования неофициальных активаторов программных продуктов и, в целом, любых исполняемых файлов Windows, не имеющих цифровой подписи и не прошедших проверку подлинности.