Een Litouwse staatsburger is uitgeleverd aan Zuid-Korea om terecht te staan voor een cryptodiefstal met malware vermomd als legitieme software. De Zuid-Koreaanse autoriteiten zeiden dat de verdachte kwaadaardige code verspreidde via aangepaste versies van KMSAuto, een tool die vaak wordt gebruikt om Microsoft Windows zonder licentie te activeren.
Volgens onderzoekers was de malware ingebed in KMSAuto-downloads en verspreidde zich over meerdere jaren naar computers in meerdere landen. De geïnfecteerde bestanden werden online gedeeld en miljoenen keren gedownload, waardoor de malware een breed scala aan slachtoffers kon bereiken, waaronder gebruikers in Zuid-Korea.
Na installatie hield de malware de klembordactiviteit op geïnfecteerde systemen in de gaten. Wanneer een gebruiker een cryptowallet-adres kopieerde om een overboeking te doen, verving de malware het door een wallet-adres dat door de aanvaller werd gecontroleerd. Hierdoor werden er fondsen naar de aanvaller gestuurd in plaats van naar de beoogde ontvanger, zonder duidelijke tekenen van interferentie tijdens het transactieproces.
De Zuid-Koreaanse politie zei dat de operatie resulteerde in duizenden gecompromitteerde walletadressen en honderden onderschepte transacties. De totale waarde van de gestolen cryptocurrency werd geschat op ongeveer 1,7 miljard won. De autoriteiten meldden dat verschillende Zuid-Koreaanse slachtoffers verliezen meldden, wat leidde tot het eerste onderzoek.
De zaak begon in 2020 nadat een cryptogebruiker meldde dat er geld was omgeleid naar een onbekende wallet. Onderzoekers volgden de transactie en identificeerden de klembordvervangingstechniek, waarbij ze uiteindelijk de activiteit koppelden aan kwaadaardige versies van de KMSAuto-software.
Wetshandhavingsinstanties in verschillende landen werkten samen tijdens het onderzoek. De Zuid-Koreaanse autoriteiten dienden een internationaal arrestatieverzoek uit, en de verdachte werd later in Georgië vastgehouden terwijl hij probeerde het land binnen te komen. De Litouwse politie hielp bij het doorzoeken van de woning van de verdachte en het in beslag nemen van elektronische apparaten waarvan wordt gedacht dat ze met de zaak verband houden.
Na juridische procedures keurden de Georgische autoriteiten de uitlevering aan Zuid-Korea goed, waar de verdachte nu wordt vervolgd op grond van wetten die cybercriminaliteit en diefstal van virtuele activa behandelen. De Zuid-Koreaanse politie zei dat de zaak het belang benadrukte van internationale samenwerking bij het aanpakken van misdrijven die landsgrenzen overschrijden.
De autoriteiten zeiden dat het incident de risico’s aantoonde die gepaard gaan met het downloaden van onofficiële software van niet-geverifieerde bronnen. Door malware te vermommen als een veelgebruikt activatiemiddel, kon de aanvaller het vertrouwen van gebruikers uitbuiten en financiële transacties onderscheppen met beperkte zichtbaarheid.
Zuid-Koreaanse onderzoekers adviseerden cryptocurrency-gebruikers om hun walletadressen zorgvuldig te verifiëren voordat ze overboekingen voltooien en om software niet te installeren via onofficiële distributiekanalen. Zij zeiden dat de zaak benadrukte hoe malware die zich richt op dagelijks gebruikersgedrag financiële verliezen kan leiden zonder zelf kwetsbaarheden in cryptonetwerken te exploiteren.