Un cittadino lituano è stato estradato in Corea del Sud per affrontare accuse legate a uno schema di furto di criptovalute condotto con malware mascherato da software legittimo. Le autorità sudcoreane hanno dichiarato che il sospetto ha distribuito codice malevolo tramite versioni modificate di KMSAuto, uno strumento comunemente usato per attivare Microsoft Windows senza licenza.
Secondo gli investigatori, il malware era incorporato nei download di KMSAuto e si è diffuso a computer in diversi paesi nel corso di diversi anni. I file infetti sono stati condivisi online e scaricati milioni di volte, permettendo al malware di raggiungere un’ampia gamma di vittime, inclusi utenti in Corea del Sud.
Una volta installato, il malware monitorava l’attività della cartellina sui sistemi infetti. Quando un utente copiava un indirizzo di wallet di criptovaluta per effettuare un trasferimento, il malware lo sostituiva con un indirizzo wallet controllato dall’attaccante. Questo faceva sì che i fondi venissero inviati all’attaccante invece che al destinatario previsto, senza evidenti segni di interferenza durante il processo di transazione.
La polizia sudcoreana ha dichiarato che l’operazione ha portato a migliaia di indirizzi di portafoglio compromessa e centinaia di transazioni intercettate. Il valore totale della criptovaluta rubata è stato stimato in circa 1,7 miliardi di won. Le autorità hanno riferito che diverse vittime sudcoreane hanno riferito perdite, scatenando l’indagine iniziale.
Il caso è iniziato nel 2020 dopo che un utente di criptovalute ha segnalato che i fondi erano stati deviati verso un portafoglio sconosciuto. Gli investigatori hanno rintracciato la transazione e identificato la tecnica di sostituzione della cartellina, collegando infine l’attività a versioni dannose del software KMSAuto.
Le forze dell’ordine di diversi paesi hanno collaborato durante l’indagine. Le autorità sudcoreane hanno emesso una richiesta internazionale di arresto e il sospetto è stato successivamente detenuto in Georgia mentre tentava di entrare nel paese. La polizia lituana ha aiutato a perquisire la residenza del sospetto e a sequestrare dispositivi elettronici ritenuti collegati al caso.
A seguito di procedimenti legali, le autorità georgiane hanno approvato l’estradizione verso la Corea del Sud, dove il sospettato è ora perseguito secondo leggi che riguardano crimini informatici e furto di beni virtuali. La polizia sudcoreana ha affermato che il caso ha evidenziato l’importanza della cooperazione internazionale nell’affrontare i crimini che attraversano i confini nazionali.
Le autorità hanno dichiarato che l’incidente ha dimostrato i rischi associati al download di software non ufficiali da fonti non verificate. Mascherando il malware come strumento di attivazione comunemente usato, l’attaccante è stato in grado di sfruttare la fiducia degli utenti e intercettare transazioni finanziarie con visibilità limitata.
Gli investigatori sudcoreani hanno consigliato agli utenti di criptovalute di verificare attentamente gli indirizzi dei portafogli prima di effettuare i trasferimenti ed evitare di installare software da canali di distribuzione non ufficiali. Hanno affermato che il caso ha sottolineato come il malware che prende di mira il comportamento quotidiano degli utenti possa causare perdite finanziarie senza sfruttare le vulnerabilità delle reti di criptovalute stesse.