Гражданин Литвы был арестован за предполагаемое участие в заражении 2,8 миллиона систем вредоносным ПО, кражей данных с буфера обмена, замаскированным под инструмент KMSAuto для незаконной активации Windows и Office.
29-летний мужчина был экстрадирован из Грузии в Южную Корею после запроса, направленного в рамках координации Интерпола.
По данным Национального полицейского агентства Кореи, подозреваемый использовал KMSAuto, чтобы заманить жертв в загрузку вредоносного исполнимого файла, который сканировал буфер обмена на наличие адресов криптовалютных кошельков и заменял их на адреса, контролируемые атакующим — так называемое «clipper» ПО.
По информации Национального полицейского агентства Кореи, подозреваемый добавил в инструмент KMSAuto вредоносное ПО, которое проверяло содержимое буфера обмена на наличие адресов криптовалют и меняло их на адрес, контролируемый хакером. Этот тип угрозы называется «clipper» (клиппер).
«С апреля 2020 года по январь 2023 года хакер распространил 2,8 миллиона копий вредоносного ПО, замаскированного под нелегальную программу активации Windows (KMSAuto)», — сообщают полицейские.
«С помощью этого вредоносного ПО хакер украл виртуальные активы на сумму около 1,7 миллиардов корейских вон (1,2 миллиона долларов) в 8 400 транзакциях от пользователей 3 100 виртуальных кошельков».
Полиция начала расследование в августе 2020 года после сообщения о краже криптовалюты, когда система жертвы заражалась клиппером, который заменял адрес кошелька получателя на адрес атакующего, направляя платежи хакеру.
В ходе расследования было выявлено заражение вредоносным ПО через вышеупомянутый инструмент KMSAuto. Клиппер нацеливался как минимум на шесть криптовалютных бирж, по данным следователей.
После отслеживания украденных сумм и идентификации преступника, в декабре 2024 года был проведен рейд в Литве, где было изъято 22 предмета, включая ноутбуки и мобильные телефоны.
Экспертиза изъятых предметов выявила компрометирующие доказательства, что в итоге привело к аресту хакера в апреле 2025 года, когда он путешествовал из Литвы в Грузию.
Южнокорейская полиция напоминает общественности, что использование нелегального программного обеспечения, нарушающего авторские права, опасно, так как такие инструменты могут внедрять вредоносное ПО в систему.
Этот тип утилит часто используется для распространения вредоносных программ. Недавно киберпреступники выдавали себя за инструмент Microsoft Activation Scripts (MAS), чтобы распространять PowerShell-скрипты, загружающие вредоносное ПО Cosmali Loader.
- Источник: https://www.bleepingcomputer[.]com/...o-malware-campaign-with-28-million-downloads/
29-летний мужчина был экстрадирован из Грузии в Южную Корею после запроса, направленного в рамках координации Интерпола.
По данным Национального полицейского агентства Кореи, подозреваемый использовал KMSAuto, чтобы заманить жертв в загрузку вредоносного исполнимого файла, который сканировал буфер обмена на наличие адресов криптовалютных кошельков и заменял их на адреса, контролируемые атакующим — так называемое «clipper» ПО.
По информации Национального полицейского агентства Кореи, подозреваемый добавил в инструмент KMSAuto вредоносное ПО, которое проверяло содержимое буфера обмена на наличие адресов криптовалют и меняло их на адрес, контролируемый хакером. Этот тип угрозы называется «clipper» (клиппер).
«С апреля 2020 года по январь 2023 года хакер распространил 2,8 миллиона копий вредоносного ПО, замаскированного под нелегальную программу активации Windows (KMSAuto)», — сообщают полицейские.
«С помощью этого вредоносного ПО хакер украл виртуальные активы на сумму около 1,7 миллиардов корейских вон (1,2 миллиона долларов) в 8 400 транзакциях от пользователей 3 100 виртуальных кошельков».
Полиция начала расследование в августе 2020 года после сообщения о краже криптовалюты, когда система жертвы заражалась клиппером, который заменял адрес кошелька получателя на адрес атакующего, направляя платежи хакеру.
В ходе расследования было выявлено заражение вредоносным ПО через вышеупомянутый инструмент KMSAuto. Клиппер нацеливался как минимум на шесть криптовалютных бирж, по данным следователей.
После отслеживания украденных сумм и идентификации преступника, в декабре 2024 года был проведен рейд в Литве, где было изъято 22 предмета, включая ноутбуки и мобильные телефоны.
Экспертиза изъятых предметов выявила компрометирующие доказательства, что в итоге привело к аресту хакера в апреле 2025 года, когда он путешествовал из Литвы в Грузию.
Южнокорейская полиция напоминает общественности, что использование нелегального программного обеспечения, нарушающего авторские права, опасно, так как такие инструменты могут внедрять вредоносное ПО в систему.
Этот тип утилит часто используется для распространения вредоносных программ. Недавно киберпреступники выдавали себя за инструмент Microsoft Activation Scripts (MAS), чтобы распространять PowerShell-скрипты, загружающие вредоносное ПО Cosmali Loader.
- Источник: https://www.bleepingcomputer[.]com/...o-malware-campaign-with-28-million-downloads/