پایان کارزار جهانی سرقت ارز دیجیتال؛ هکر ۲/۸ میلیون سیستم در کره‌جنوبی بازداشت شد

بدافزار KMSAuto عامل یکی از کارزارهای بدافزاری بزرگ‌ سال‌های اخیر بود که سرانجام با همکاری پلیس بین‌الملل (اینترپل) متوقف شد.

به گزارش سرویس فناوری تک‌ناک، در پی عملیات پیچیده پلیسی و با همکاری پلیس بین‌الملل (اینترپل)، عامل یکی از کارزارهای بدافزاری گسترده سال‌های اخیر که بیش از ۲/۸ میلیون سیستم را در سراسر جهان آلوده کرده بود، بازداشت و به کره‌جنوبی استرداد داده شد. این هکر ۲۹ ساله لیتوانیایی متهم است که با سوءاستفاده از نیاز کاربران به نرم‌افزارهای غیرقانونی، میلیون‌ها دلار دارایی مجازی را به یغما برده است.

به گزارش آژانس پلیس ملی کره‌جنوبی، این مجرم سایبری با بهره‌گیری از محبوبیت ابزار KMSAuto، نرم‌افزاری که برای فعال‌سازی غیرقانونی ویندوز و آفیس استفاده می‌شود، نسخه‌ای مخرب از آن را در فضای وب منتشر کرده بود. کاربران با دانلود و اجرای این برنامه، ندانسته راه را برای ورود بدافزار کلیپر (Clipper Malware) باز می‌کردند.

سازوکار این بدافزار به‌گونه‌ای طراحی شده بود که به‌طور مداوم «کلیپ‌بورد» (حافظه موقت کپی) سیستم قربانی را اسکن می‌کرد. به‌محض اینکه کاربر آدرس کیف‌پول ارز دیجیتال را کپی می‌کرد، بدافزار در کسری از ثانیه آن را با آدرس متعلق به هکر جایگزین می‌کرد. بدین‌ترتیب، مبالغ ارسالی کاربران به‌جای مقصد اصلی مستقیماً به حساب مهاجم واریز می‌شد.

بررسی‌های کارشناسی نشان می‌دهد که این متهم از آوریل ۲۰۲۰ تا ژانویه ۲۰۲۳ موفق شده است ۲/۸ میلیون نسخه از این فایل آلوده را توزیع کند. آمار ثبت‌شده در پرونده وی از سرقت ۱/۷ میلیارد وون کره (معادل ۱/۲ میلیون دلار) طی بیش از ۸,۴۰۰ تراکنش غیرقانونی حکایت می‌کند. طبق گفته بازرسان، این بدافزار دست‌کم کاربران ۶ صرافی بزرگ ارز دیجیتال را هدف قرار داده بود.

جرقه این پرونده در آگوست ۲۰۲۰ و پس‌از شکایت یکی از مال‌باختگان در کره‌جنوبی زده شد. پس‌از چهار سال ردیابی‌های فنی و مالی پیچیده، پلیس در دسامبر ۲۰۲۴ مخفیگاه و ابزارهای جرم را در لیتوانی شناسایی کرد. سرانجام، این متهم در آوریل ۲۰۲۵، هنگامی که قصد داشت از لیتوانی به گرجستان سفر کند، بازداشت و با هماهنگی اینترپل برای محاکمه به سئول منتقل شد.

بلیپینگ‌کامپیوتر می‌نویسد که پلیس کره‌جنوبی در بیانیه پایانی خود، این پرونده را زنگ‌خطری برای تمامی کاربرانی دانست که از نرم‌افزارهای کرک‌شده (Crack) و غیرقانونی استفاده می‌کنند. در این بیانیه آمده است:

استفاده از فعال‌سازهای غیررسمی، به‌معنای بازکردن درهای سیستم به‌روی مجرمان سایبری است. هزینه خرید لایسنس معتبر بسیار کمتر از خسارات جبران‌ناپذیر سرقت دارایی‌های دیجیتال است.

کارشناسان امنیت سایبری نیز توصیه می‌کنند کاربران از اجرای هرگونه فایل فاقد امضای دیجیتال معتبر (Digital Signature) خودداری و برای محافظت از دارایی‌های خود، حتماً از کیف‌پول‌های سخت‌افزاری و سیستم‌های تأیید هویت چندمرحله‌ای استفاده کنند.