Um cidadão lituano foi extraditado para a Coreia do Sul para enfrentar acusações relacionadas a um esquema de roubo de criptomoedas realizado usando malware disfarçado de software legítimo. As autoridades sul-coreanas disseram que o suspeito distribuiu código malicioso por meio de versões alteradas do KMSAuto, uma ferramenta comumente usada para ativar o Microsoft Windows sem licença.
Segundo investigadores, o malware foi embutido nos downloads do KMSAuto e se espalhou para computadores em vários países ao longo de vários anos. Os arquivos infectados foram compartilhados online e baixados milhões de vezes, permitindo que o malware alcançasse uma ampla gama de vítimas, incluindo usuários na Coreia do Sul.
Uma vez instalado, o malware monitorava a atividade da prancheta nos sistemas infectados. Quando um usuário copiava o endereço de uma carteira de criptomoeda para fazer uma transferência, o malware o substituía por um endereço de carteira controlado pelo atacante. Isso fazia com que os fundos fossem enviados ao atacante em vez do destinatário pretendido, sem sinais óbvios de interferência durante o processo de transação.
A polícia sul-coreana disse que a operação resultou em milhares de endereços de carteiras comprometidos e centenas de transações interceptadas. O valor total da criptomoeda roubada foi estimado em cerca de 1,7 bilhão de won. As autoridades disseram que várias vítimas sul-coreanas relataram perdas, o que motivou a investigação inicial.
O caso começou em 2020, depois que um usuário de criptomoeda relatou que fundos haviam sido desviados para uma carteira desconhecida. Os investigadores rastrearam a transação e identificaram a técnica de substituição da prancheta, eventualmente ligando a atividade a versões maliciosas do software KMSAuto.
Agências de aplicação da lei em vários países cooperaram durante a investigação. As autoridades sul-coreanas emitiram um pedido internacional de prisão, e o suspeito foi posteriormente detido na Geórgia enquanto tentava entrar no país. A polícia lituana auxiliou na busca na residência do suspeito e na apreensão de dispositivos eletrônicos que se acredita estarem ligados ao caso.
Após processos legais, as autoridades georgianas aprovaram a extradição para a Coreia do Sul, onde o suspeito agora enfrenta processos sob leis que cobrem cibercrime e roubo de bens virtuais. A polícia sul-coreana afirmou que o caso destacou a importância da cooperação internacional no combate a crimes que cruzam fronteiras nacionais.
As autoridades disseram que o incidente demonstrou os riscos associados ao download de softwares não oficiais de fontes não verificadas. Ao disfarçar o malware como uma ferramenta de ativação comumente usada, o atacante conseguiu explorar a confiança dos usuários e interceptar transações financeiras com visibilidade limitada.
Investigadores sul-coreanos aconselharam os usuários de criptomoedas a verificarem cuidadosamente os endereços das carteiras antes de concluir as transferências e a evitar instalar softwares de canais de distribuição não oficiais. Eles disseram que o caso ressaltou como o malware direcionado ao comportamento cotidiano dos usuários pode resultar em prejuízos financeiros sem explorar vulnerabilidades nas próprias redes de criptomoedas.