Un ressortissant lituanien a été extradé vers la Corée du Sud pour faire face à des accusations liées à un projet de vol de cryptomonnaies mené à l’aide de logiciels malveillants déguisés en logiciels légitimes. Les autorités sud-coréennes ont indiqué que le suspect avait distribué un code malveillant via des versions modifiées de KMSAuto, un outil couramment utilisé pour activer Microsoft Windows sans licence.
Selon les enquêteurs, le malware a été intégré dans les téléchargements de KMSAuto et s’est propagé sur des ordinateurs de plusieurs pays sur plusieurs années. Les fichiers infectés ont été partagés en ligne et téléchargés des millions de fois, permettant au malware d’atteindre un large éventail de victimes, y compris des utilisateurs en Corée du Sud.
Une fois installé, le malware surveillait l’activité du presse-papiers sur les systèmes infectés. Lorsqu’un utilisateur copiait une adresse de portefeuille de cryptomonnaie pour effectuer un transfert, le malware la remplaçait par une adresse de portefeuille contrôlée par l’attaquant. Cela entraînait l’envoi de fonds à l’attaquant plutôt qu’au destinataire prévu, sans signes évidents d’interférence lors du processus de transaction.
La police sud-coréenne a déclaré que l’opération avait entraîné des milliers d’adresses de portefeuille compromises et des centaines de transactions interceptées. La valeur totale de la cryptomonnaie volée a été estimée à environ 1,7 milliard de wons. Les autorités ont indiqué que plusieurs victimes sud-coréennes avaient signalé des pertes, ce qui a déclenché une enquête initiale.
L’affaire a débuté en 2020 après qu’un utilisateur de cryptomonnaie a signalé que des fonds avaient été détournés vers un portefeuille inconnu. Les enquêteurs ont retracé la transaction et identifié la technique de remplacement du clipboard, reliant finalement l’activité à des versions malveillantes du logiciel KMSAuto.
Les forces de l’ordre de plusieurs pays ont coopéré lors de l’enquête. Les autorités sud-coréennes ont émis une demande d’arrestation internationale, et le suspect a ensuite été détenu en Géorgie alors qu’il tentait d’entrer dans le pays. La police lituanienne a aidé à perquisitionner le domicile du suspect et à saisir des appareils électroniques soupçonnés d’être liés à l’affaire.
À l’issue d’une procédure judiciaire, les autorités géorgiennes ont approuvé l’extradition vers la Corée du Sud, où le suspect fait désormais face à des poursuites en vertu de lois concernant la cybercriminalité et le vol de biens virtuels. La police sud-coréenne a déclaré que l’affaire soulignait l’importance de la coopération internationale pour traiter les crimes franchissant les frontières nationales.
Les autorités ont indiqué que l’incident démontrait les risques liés au téléchargement de logiciels non officiels provenant de sources non vérifiées. En déguisant les logiciels malveillants comme un outil d’activation couramment utilisé, l’attaquant a pu exploiter la confiance des utilisateurs et intercepter des transactions financières avec une visibilité limitée.
Les enquêteurs sud-coréens ont conseillé aux utilisateurs de cryptomonnaies de vérifier soigneusement les adresses de portefeuille avant de finaliser les transferts et d’éviter d’installer des logiciels provenant de canaux de distribution non officiels. Ils ont indiqué que cette affaire soulignait comment le ciblage de malwares ciblant le comportement quotidien des utilisateurs peut entraîner des pertes financières sans exploiter les vulnérabilités des réseaux de cryptomonnaies eux-mêmes.