Ένας Λιθουανός υπήκοος συνελήφθη για την υποτιθέμενη εμπλοκή του στη μόλυνση 2,8 εκατομμυρίων συστημάτων με κακόβουλο λογισμικό που κλέβει το πρόχειρο, μεταμφιεσμένο ως εργαλείο KMSAuto για παράνομη ενεργοποίηση λογισμικού Windows και Office.
Ο 29χρονος άνδρας εκδόθηκε από τη Γεωργία στη Νότια Κορέα μετά από σχετικό αίτημα υπό τον συντονισμό της Ιντερπόλ.
Σύμφωνα με την Εθνική Αστυνομική Υπηρεσία της Κορέας, ο ύποπτος χρησιμοποίησε το KMSAuto για να παρασύρει τα θύματα να κατεβάσουν ένα κακόβουλο εκτελέσιμο που σάρωνε το πρόχειρο για διευθύνσεις κρυπτονομισμάτων και τις αντικατέστησε με αυτές που ελέγχονται από τον εισβολέα – γνωστό ως «κακόβουλο λογισμικό clipper».
Σύμφωνα με την Εθνική Αστυνομική Υπηρεσία της Κορέας, ο ύποπτος πρόσθεσε κακόβουλο λογισμικό στο εργαλείο KMSAuto που έλεγχε τα περιεχόμενα του προχείρου για διευθύνσεις κρυπτονομισμάτων και άλλαξε τη διεύθυνση προορισμού σε διεύθυνση που ελέγχεται από τον εισβολέα. Αυτός ο τύπος απειλής ονομάζεται κακόβουλο λογισμικό clipper.
«Από τον Απρίλιο του 2020 έως τον Ιανουάριο του 2023, ο χάκερ διένειμε παγκοσμίως 2,8 εκατομμύρια αντίγραφα κακόβουλου λογισμικού που ήταν μεταμφιεσμένο ως παράνομο πρόγραμμα ενεργοποίησης αδειών των Windows (KMSAuto)», η αστυνομία λέγω.
«Μέσω αυτού του κακόβουλου λογισμικού, ο χάκερ έκλεψε εικονικά περιουσιακά στοιχεία αξίας περίπου 1,7 δισεκατομμυρίων KRW (1,2 εκατομμύρια δολάρια) σε 8.400 συναλλαγές από χρήστες 3.100 διευθύνσεων εικονικών περιουσιακών στοιχείων».
Η αστυνομία ξεκίνησε την έρευνα τον Αύγουστο του 2020, μετά από μια αναφορά για cryptojacking, όπου το σύστημα του θύματος μολύνθηκε από κακόβουλο λογισμικό clipper, ανταλλάσσοντας τη διεύθυνση του πορτοφολιού του παραλήπτη με απευθείας πληρωμές στον εισβολέα.
Πηγή: police.go.kr
Η έρευνα αποκάλυψε μόλυνση από κακόβουλο λογισμικό μέσω του εν λόγω εργαλείου KMSAuto. Το clipper στόχευε τουλάχιστον έξι ανταλλακτήρια κρυπτονομισμάτων, σύμφωνα με τους ερευνητές.
Μετά τον εντοπισμό των κλεμμένων ποσών και τον εντοπισμό του δράστη, έγινε έφοδος τον Δεκέμβριο του 2024 στη Λιθουανία, όπου κατασχέθηκαν 22 αντικείμενα, μεταξύ των οποίων φορητοί υπολογιστές και κινητά τηλέφωνα.
Η εξέταση των κατασχεθέντων αντικειμένων αποκάλυψε ενοχοποιητικά στοιχεία, τα οποία τελικά οδήγησαν στη σύλληψη του χάκερ τον Απρίλιο του 2025, ενώ ταξίδευε από τη Λιθουανία στη Γεωργία.
Η αστυνομία της Νότιας Κορέας υπενθυμίζει στο κοινό ότι η χρήση παράνομου λογισμικού που παραβιάζει τα πνευματικά δικαιώματα είναι επικίνδυνη, επειδή τέτοια εργαλεία μπορούν να εισάγουν κακόβουλο λογισμικό στο σύστημα.
Αυτός ο τύπος βοηθητικού προγράμματος έχει χρησιμοποιηθεί συχνά για τη διανομή κακόβουλου λογισμικού. Πρόσφατα, εγκληματίες του κυβερνοχώρου μιμήθηκαν το εργαλείο Microsoft Activation Scripts (MAS) για να διαδώσουν σενάρια PowerShell που παρείχαν το κακόβουλο λογισμικό Cosmali Loader.
Συνιστάται να αποφεύγετε τη χρήση ανεπίσημων ενεργοποιητών προϊόντων λογισμικού και, γενικότερα, τυχόν εκτελέσιμων Windows που δεν είναι ψηφιακά υπογεγραμμένα και των οποίων η πηγή ή η ακεραιότητα δεν μπορούν να επικυρωθούν.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
