立陶宛嫌犯因传播感染280万系统的KMSAuto恶意软件被捕

一名立陶宛国民因涉嫌传播基于KMSAuto的剪贴板窃取恶意软件而被捕，该软件感染了约280万个Windows和Office系统。

这名29岁的男子在国际刑警组织的协调下，从格鲁吉亚被引渡至韩国。当局称，他对KMSAuto盗版工具进行了木马化处理，以传播"剪切板劫持者"恶意软件。该软件会监控受害者剪贴板中的加密货币地址，并将其替换为攻击者控制的钱包地址，从而在用户不知情的情况下重定向加密货币交易。

韩国国家警察厅表示，嫌疑人利用KMSAuto诱使受害者下载恶意可执行文件。该文件会扫描剪贴板中的加密货币地址，并将其替换为攻击者控制的地址。

据警方称，嫌疑人在KMSAuto工具中添加了恶意软件，该软件会检查剪贴板内容中的加密货币地址，并将目标地址更改为攻击者控制的地址。这种类型的威胁被称为"剪切板劫持者"恶意软件。

从2020年到2023年，伪装成非法Windows激活工具KMSAuto的恶意软件在全球范围内被下载了约280万次。该剪切板劫持者恶意软件在交易过程中替换加密货币钱包地址，通过来自3,100个钱包的8,400笔转账实施了盗窃，总额约为17亿韩元。已确认有八名韩国受害者，损失约1,600万韩元，感染源追踪到了盗版软件。

“在2020年4月至2023年1月期间，嫌疑人散布了伪装成名为KMSAuto的非法Windows激活工具的恶意软件。该恶意软件在全球范围内被下载了约280万次，包括在韩国，“韩国警方发布的新闻稿中写道。“调查人员识别出3,100个被入侵的加密货币钱包地址，这些地址被用于8,400笔交易，窃取了价值约17亿韩元的虚拟资产。已确认八名韩国受害者，总损失约1,600万韩元。”

2020年8月，一名受害者在交易过程中，其预期的钱包地址被恶意软件自动替换为黑客控制的地址，损失了价值约1,200万韩元的1个比特币，警方随后展开调查。感染源来自在线下载的非法Windows激活工具KMSAuto。调查人员发现了一个针对六个国家交易所和公司的大规模国际作案网络，追踪了非法的加密货币资金流，并确定了一名立陶宛嫌疑人。在国际合作伙伴的协助下，警方查获了嫌疑人的设备，发布了国际刑警组织红色通缉令，并在格鲁吉亚逮捕了该嫌疑人。

“为防止此类由恶意程序造成的各种损害，您应谨慎对待来源不明的程序，“国家警察厅网络调查局长Park Woo-hyun表示，“未来，警方将继续与全球执法机构合作打击无国界网络犯罪，并计划采取包括遣返在内的严厉措施。”