Ein litauischer Staatsangehöriger wurde nach Südkorea ausgeliefert, um sich wegen eines Kryptowährungsdiebstahls im Zusammenhang mit Malware, die als legitime Software getarnt wurde, angeklagt zu werden. Die südkoreanischen Behörden sagten, der Verdächtige habe bösartigen Code über veränderte Versionen von KMSAuto verteilt, einem Werkzeug, das häufig zur Aktivierung von Microsoft Windows ohne Lizenz verwendet wird.
Laut Ermittlern wurde die Malware in KMSAuto-Downloads eingebettet und verbreitete sich über mehrere Jahre auf Computer in mehreren Ländern. Die infizierten Dateien wurden online geteilt und millionenfach heruntergeladen, sodass die Malware eine breite Palette von Opfern erreichen konnte, darunter Nutzer in Südkorea.
Nach der Installation überwachte die Malware die Zwischenablage-Aktivitäten auf infizierten Systemen. Wenn ein Nutzer eine Kryptowährungs-Wallet-Adresse kopierte, um eine Übertragung durchzuführen, ersetzte die Malware sie durch eine vom Angreifer kontrollierte Wallet-Adresse. Dies führte dazu, dass Gelder an den Angreifer statt an den vorgesehenen Empfänger gesendet wurden, ohne dass während des Transaktionsprozesses offensichtliche Anzeichen von Eingriffen auftraten.
Die südkoreanische Polizei erklärte, dass die Operation zu Tausenden kompromittierten Wallet-Adressen und Hunderten abgefangener Transaktionen geführt habe. Der Gesamtwert der gestohlenen Kryptowährung wurde auf etwa 1,7 Milliarden Won geschätzt. Behörden berichteten, dass mehrere südkoreanische Opfer Verluste gemeldet hätten, was die erste Untersuchung auslöste.
Der Fall begann 2020, nachdem ein Kryptowährungsnutzer meldete, dass Gelder auf eine unbekannte Wallet umgeleitet worden waren. Die Ermittler verfolgten die Transaktion und identifizierten die Methode des Austauschs des Zwischenbretts, wodurch die Aktivität schließlich mit bösartigen Versionen der KMSAuto-Software in Verbindung gebracht wurde.
Strafverfolgungsbehörden in mehreren Ländern kooperierten während der Ermittlungen. Die südkoreanischen Behörden stellten einen internationalen Festnahmeantrag, und der Verdächtige wurde später in Georgien festgenommen, als er versuchte, ins Land einzureisen. Die litauische Polizei half bei der Durchsuchung der Wohnung des Verdächtigen und der Beschlagnahme elektronischer Geräte, die mit dem Fall in Verbindung stehen.
Nach Gerichtsverfahren genehmigten die georgischen Behörden die Auslieferung an Südkorea, wo der Verdächtige nun nach Gesetzen zu Cyberkriminalität und Diebstahl virtueller Vermögenswerte strafrechtlich verfolgt wird. Die südkoreanische Polizei erklärte, der Fall unterstreiche die Bedeutung internationaler Zusammenarbeit bei der Bekämpfung von Straftaten, die nationale Grenzen überschreiten.
Die Behörden erklärten, der Vorfall habe die Risiken gezeigt, die mit dem Herunterladen inoffizieller Software aus unverifizierten Quellen verbunden sind. Indem er Malware als häufig genutztes Aktivierungswerkzeug tarnte, konnte der Angreifer das Vertrauen der Nutzer ausnutzen und Finanztransaktionen mit begrenzter Sichtbarkeit abfangen.
Südkoreanische Ermittler rieten Kryptowährungsnutzern, die Wallet-Adressen sorgfältig zu überprüfen, bevor sie Transfers durchführen, und darauf zu verzichten, Software über inoffizielle Vertriebskanäle zu installieren. Sie sagten, der Fall unterstreiche, wie Malware, die das alltägliche Nutzerverhalten angreift, zu finanziellen Verlusten führen kann, ohne Schwachstellen in Kryptowährungsnetzwerken selbst auszunutzen.