立陶宛嫌疑人因传播感染280万系统的KMSAuto恶意软件被捕

一名立陶宛国民因涉嫌传播基于KMSAuto的剪切板窃取恶意软件而被捕，该软件感染了约280万台Windows和Office系统。

这名男子在国际刑警组织的协调下，从格鲁吉亚引渡到韩国。当局称，他将KMSAuto盗版工具“木马化”，以分发剪切板恶意软件。该软件监控受害者剪切板中的加密货币地址，并将其替换为攻击者控制的钱包地址，从而在用户不知情的情况下重定向加密货币交易。

根据韩国国家警察厅的说法，嫌疑人利用KMSAuto诱使受害者下载恶意可执行文件，该文件扫描剪切板中的加密货币地址并将其替换为攻击者控制的地址——这种威胁被称为“剪切板恶意软件”。

从2020年到2023年，伪装成非法Windows激活工具KMSAuto的恶意软件在全球范围内被下载了约280万次。该剪切板恶意软件在交易过程中替换加密货币钱包地址，通过来自3100个钱包的8400笔转账实施了盗窃，总额约为17亿韩元。八名韩国受害者损失了1600万韩元，感染源被追踪至盗版软件。

“2020年4月至2023年1月期间，嫌疑人分发伪装成名为KMSAuto的非法Windows激活工具的恶意软件。该恶意软件在全球范围内被下载了约280万次，包括在韩国。”韩国警方发布的新闻稿中写道。“调查人员确定了3100个被入侵的加密货币钱包地址，这些地址被用于8400笔交易，窃取了价值约17亿韩元的虚拟资产。已确认八名韩国受害者，总损失约1600万韩元。”

2020年8月，一名受害者在交易过程中，因恶意软件自动将目标钱包地址替换为黑客控制的地址，损失了价值约1200万韩元的1个比特币，警方随后展开调查。感染源来自在线下载的非法Windows激活工具KMSAuto。调查人员揭露了一个针对六个国家交易所和公司的大规模国际犯罪网络，追踪了非法加密资金流，并确认了一名立陶宛嫌疑人。在国际合作伙伴的协助下，警方扣押了嫌疑人的设备，发布了国际刑警组织红色通缉令，并在格鲁吉亚逮捕了该嫌疑人。

“为防止由恶意程序造成的各种损害，应谨慎对待来源不明的程序。”国家警察厅网络调查局局长朴宇贤表示，“未来，警方也将与世界各地的执法机构合作，打击无国界的网络犯罪，我们计划采取包括遣返在内的严格措施。”