Гражданин Литвы, обвиняемый в масштабной краже криптовалюты, успешно экстрадирован в Южную Корею по запросу местных киберполицейских. Злоумышленник распространял вредоносное ПО, которое свыше 8,4 тысяч раз подменяло адреса кошельков жертв, перенаправляя средства на его счет.
Успешная экстрадиция благодаря Интерполу
Полиция Республики Корея подтвердила экстрадицию литовского хакера при содействии Интерпола. Подробности операции опубликованы на портале электронного правительства страны.
Специалисты Отдела по борьбе с кибертерроризмом установили, что злоумышленник, задержанный при попытке вылета в Грузию, использовал вредоносную программу, замаскированную под легальный инструмент KMSAuto. Его действия в период с 2020 по 2023 год привели к хищению криптоактивов на $1,2 млн с кошельков 3100 пользователей.
Обвиняемый находится под стражей для предотвращения возможных попыток побега и уничтожения доказательств.
Механизм вредоносного ПО Clipper
Расследование началось в 2020 году после заявления первого пострадавшего о краже биткоина. Вредоносное ПО распространялось через пиратский пакет KMSAuto, который жертвы скачивали для активации Windows.
Эксперты выявили использование зловреда типа Clipper. Этот вирус отслеживает буфер обмена, автоматически заменяя скопированные криптоадреса жертв на адреса злоумышленника.
Программа заразила около 2,8 миллионов компьютеров по всему миру. Мошенник также отслеживал транзакции шести криптобирж. Успешными оказались 8400 операций подмены, включая восемь подтвержденных случаев ущерба гражданам Южной Кореи на общую сумму 16 млн вон.
Глобальный масштаб криптоугроз и успехи противодействия
Компания Chainalysis отмечает значительный объем криптокраж в мире. Основным источником угроз в их отчетах названа КНДР. Ярким примером стал взлом биржи Bybit в феврале, приписываемый группировке TraderTraitor (Jade Sleet/Slow Pisces).
Исследователи Hudson Rock обнаружили инфраструктуру, связанную с атакой на Bybit, после заражения одного из операторов вредоносом Lumma Stealer.
Эксперты "Лаборатории Касперского" предупреждают о рисках при поиске инструментов разработки, например, для Solidity. Вредоносные расширения часто занимают высокие позиции в результатах поиска, обманывая даже опытных программистов.
Источник: biz.cnews.ru
