سرقت 1.2 میلیون دلاری با ابزار فعالسازی ویندوز

یک تبعه لیتوانیایی به اتهام آلوده‌سازی ۲٫۸ میلیون سیستم رایانه‌ای با بدافزاری که در قالب ابزار فعال سازی ویندوز KMSAuto پنهان شده بود، بازداشت شد.

به گزارش سرویس امنیت سایبری تکناک،بر اساس اعلام آژانس ملی پلیس کره جنوبی، این فرد پس از هماهنگی‌های بین‌المللی از طریق اینترپل، از گرجستان به کره جنوبی مسترد شده است. تحقیقات نشان می‌دهد متهم با سوءاستفاده از محبوبیت ابزارهای کرک و فعال‌ساز نرم‌افزار، کاربران را ترغیب به دانلود یک فایل اجرایی آلوده می‌کرد.

به گفته پلیس، بدافزار استفاده‌شده از نوع «کلیپر» بوده است؛ بدافزاری که محتوای کلیپ‌بورد سیستم را بررسی می‌کند و در صورت شناسایی آدرس کیف پول ارز دیجیتال، آن را با آدرسی که تحت کنترل مهاجم قرار دارد جایگزین می‌کند. در نتیجه، کاربران بدون اطلاع، دارایی‌های دیجیتال خود را به حساب هکر منتقل می‌کردند.

مقامات کره جنوبی اعلام کرده‌اند که این کمپین بدافزاری از آوریل ۲۰۲۰ تا ژانویه ۲۰۲۳ فعال بوده و طی این مدت، حدود ۲٫۸ میلیون نسخه از بدافزار در سطح جهانی توزیع شده است. به گفته پلیس، متهم از طریق این بدافزار موفق شده است در حدود ۸۴۰۰ تراکنش، دارایی‌های دیجیتالی به ارزش تقریبی ۱٫۷ میلیارد وون کره جنوبی، معادل حدود ۱٫۲ میلیون دلار آمریکا، را از کاربران سرقت کند. این سرقت‌ها حداقل ۳۱۰۰ آدرس مختلف ارز دیجیتال را تحت تأثیر قرار داده است.

روند یک حمله بدافزاری را نشان می‌دهد که در آن هکر با انتشار نسخه آلوده ابزار فعال‌سازی غیرقانونی ویندوز، بدافزار کلیپر را توزیع می‌کند؛ بدافزار پس از اجرا، آدرس کیف پول ارز دیجیتال قربانیان را تغییر می‌دهد و دارایی‌ها را به حساب مهاجم منتقل می‌کند.

روند تحقیقات از اوت ۲۰۲۰ آغاز شد؛ زمانی که گزارشی درباره یک مورد کریپتوجکینگ به پلیس ارائه شد. در آن پرونده، مشخص شد سیستم قربانی به بدافزار کلیپر آلوده شده و آدرس کیف پول مقصد هنگام انجام تراکنش تغییر یافته است. بررسی‌های فنی بعدی نشان داد منبع آلودگی، نسخه دست‌کاری‌شده ابزار KMSAuto بوده است.

پلیس در جریان تحقیقات خود اعلام کرد که این بدافزار حداقل شش صرافی ارز دیجیتال مختلف را هدف قرار داده است. با ردیابی مسیر انتقال دارایی‌های سرقت‌شده و تحلیل داده‌های تراکنش، هویت عامل اصلی شناسایی شد. در ادامه، در دسامبر ۲۰۲۴، عملیات بازرسی در لیتوانی انجام گرفت که طی آن ۲۲ قلم تجهیزات الکترونیکی، از جمله لپ‌تاپ‌ها و تلفن‌های همراه، توقیف شد.

بررسی داده‌های موجود در تجهیزات ضبط‌شده، شواهد مجرمانه قابل توجهی را در اختیار investigators قرار داد که نهایتاً به صدور حکم بازداشت انجامید. این فرد در آوریل ۲۰۲۵، هنگام سفر از لیتوانی به گرجستان، بازداشت شد و پس از طی مراحل حقوقی، به کره جنوبی منتقل گردید.

مقامات کره جنوبی در پایان این گزارش، با هشدار نسبت به خطرات استفاده از نرم‌افزارهای غیرقانونی، تأکید کردند که ابزارهای ناقض کپی‌رایت اغلب به‌عنوان بستری برای توزیع بدافزار مورد استفاده قرار می‌گیرند. پلیس از کاربران خواست از نصب فعال‌کننده‌های غیررسمی نرم‌افزارها خودداری کنند و تنها فایل‌های اجرایی دارای امضای دیجیتال معتبر و منبع قابل اعتماد را اجرا کنند، زیرا بی‌توجهی به این موضوع می‌تواند به خسارات مالی و امنیتی جدی منجر شود.