Литовский хакер украл $1,2 млн криптовалюты через поддельный KMSAuto и экстрадирован в Южную Корею
Интерпол экстрадировал в Южную Корею литовского хакера, который три года обманывал пользователей по всему миру. Его схема оказалась изощренной: злоумышленник маскировал вредоносное ПО под популярный инструмент KMSAuto и украл криптовалюту на $1,2 млн.
Как работала схема обмана
Киберпреступник использовал классический прием социальной инженерии - встроил зловред в программу, которую пользователи сами искали и скачивали. KMSAuto - это инструмент для активации Windows, который часто ищут те, кто использует нелицензионное ПО.
Вредоносная программа относилась к типу Clipper - она отслеживала буфер обмена компьютера и автоматически подменяла адреса криптокошельков на адреса, контролируемые хакером. Пользователь думал, что отправляет криптовалюту по нужному адресу, а деньги уходили прямиком к мошеннику.
Масштабы атаки впечатляют
За период с 2020 по 2023 год зловред заразил 2,8 млн компьютеров по всему миру. Хакер атаковал 3,1 тысячи адресов виртуальных активов, а его схема сработала 8,4 тысячи раз. В поле зрения преступника попали даже шесть криптобирж, потоки которых он внимательно отслеживал.
Расследование началось в 2020 году, когда первая жертва - корейский гражданин - заявил о краже одного Bitcoin стоимостью 12 млн вон. Подозреваемого арестовали при попытке выехать из Литвы в Грузию, и теперь он содержится под стражей из-за риска уничтожения улик.
Криптопреступность набирает обороты
Этот случай - лишь капля в море киберпреступности. Chainalysis зафиксировала: только за 11 месяцев прошлого года в мире украли криптовалюты на сумму свыше $3,4 млрд. Произошло 158 тысяч случаев взлома личных кошельков, пострадали более 80 тысяч пользователей.
Самым громким инцидентом стал взлом биржи Bybit в феврале - тогда злоумышленники украли около $1,5 млрд в криптовалютах. Интересный факт: исследователи Hudson Rock обнаружили инфраструктуру этой атаки после того, как один из операторов сам стал жертвой вредоноса Lumma Stealer.
Опасность поддельных инструментов растет
Летом прошлого года «Лаборатория Касперского» зафиксировала похожий случай с российским программистом, который потерял полмиллиона долларов. Разработчик искал инструмент для подсветки синтаксиса Solidity, ввел в поиск одно слово - и попал на вредоносное расширение, которое оказалось на четвертом месте в результатах поиска.
Эти инциденты показывают, как важно проверять источники загружаемого ПО. В эпоху, когда создание контента и поисковое продвижение становятся все более автоматизированными, киберпреступники тоже адаптируются - они научились эффективно продвигать свои вредоносные программы в поисковых системах, делая их более заметными, чем легитимные аналоги.
Для бизнеса это означает необходимость более тщательного подхода к кибербезопасности и обучению сотрудников основам цифровой гигиены.