Hacker người Litva bị bắt, dẫn độ về Hàn Quốc vì phát tán mã độc KMSAuto tới 2,8 triệu máy tính

Ảnh minh họa. IT-connect

Một công dân Litva, 29 tuổi đã bị bắt giữ và dẫn độ từ Gruzia về Hàn Quốc theo yêu cầu phối hợp của Interpol. Đối tượng bị cáo buộc đứng sau chiến dịch phát tán mã độc quy mô lớn, ngụy trang dưới phần mềm KMSAuto, công cụ thường được sử dụng để kích hoạt trái phép các sản phẩm Windows và Office của Microsoft.

Theo Cơ quan Cảnh sát Quốc gia Hàn Quốc (KNPA), hacker này đã dụ người dùng tải về một tệp thực thi chứa mã độc, có khả năng quét nội dung clipboard (bộ nhớ tạm). Khi phát hiện địa chỉ ví tiền điện tử, mã độc sẽ tự động thay thế bằng địa chỉ ví do kẻ tấn công kiểm soát. Loại mã độc này được gọi là clipper malware.

Cảnh sát cho biết, trong giai đoạn từ tháng 4/2020 đến tháng 1/2023, đối tượng đã phát tán khoảng 2,8 triệu bản sao mã độc trên toàn cầu, ẩn sau một chương trình kích hoạt bản quyền Windows trái phép. Thông qua chiến dịch này, hacker đã đánh cắp tài sản số trị giá khoảng 1,7 tỷ won (tương đương 1,2 triệu USD), thực hiện 8.400 giao dịch trái phép từ 3.100 địa chỉ ví tiền điện tử của nạn nhân.

Cuộc điều tra được khởi động từ tháng 8/2020, sau khi cảnh sát nhận được báo cáo về một vụ tấn công liên quan đến tiền điện tử. Nạn nhân cho biết hệ thống của họ bị nhiễm mã độc clipper, khiến địa chỉ ví người nhận bị thay đổi và dòng tiền bị chuyển hướng sang ví của kẻ tấn công.

Quá trình điều tra sau đó xác định nguồn lây nhiễm bắt nguồn từ công cụ KMSAuto bị cài cắm mã độc. Theo KNPA, chiến dịch này nhắm vào ít nhất sáu sàn giao dịch tiền điện tử khác nhau.

Sau khi lần theo dấu vết dòng tiền bị đánh cắp và xác định nghi phạm, lực lượng chức năng đã tiến hành khám xét tại Litva vào tháng 12/2024, thu giữ 22 tang vật, bao gồm máy tính xách tay và điện thoại di động. Quá trình phân tích các thiết bị này đã cung cấp bằng chứng quan trọng, dẫn tới việc bắt giữ đối tượng vào tháng 4/2025 khi đối tượng đang di chuyển từ Litva sang Gruzia.

Cảnh sát Hàn Quốc khuyến cáo người dùng không sử dụng phần mềm vi phạm bản quyền, bởi các công cụ này tiềm ẩn nguy cơ cao bị cài mã độc. Trên thực tế, nhiều tiện ích kích hoạt trái phép đã bị tội phạm mạng lợi dụng để phát tán malware. Gần đây, các nhóm tin tặc thậm chí còn giả mạo công cụ Microsoft Activation Scripts (MAS) để phát tán các script PowerShell, từ đó triển khai mã độc Cosmali Loader.

Các chuyên gia an ninh mạng khuyến nghị người dùng tránh sử dụng phần mềm kích hoạt không chính thức và hạn chế chạy các tệp thực thi Windows không có chữ ký số hoặc không thể xác minh nguồn gốc và tính toàn vẹn của mã phần mềm.

An Lâm (Theo Bleeping Computer)