Um lituano de 29 anos foi preso por suspeita de espalhar malware baseado no KMSAuto, uma ferramenta de pirataria popular para ativar o Microsoft Office 2019. Ele roubava a área de transferência em busca de endereços de carteiras de criptomoedas e dados bancários, e infectou cerca de 2,8 milhões de sistemas Windows e Office.
O suspeito foi extraditado da Geórgia para a Coreia do Sul pela Interpol. De acordo com a Agência Nacional da Polícia da Coreia, ele transformou a ferramenta de pirataria em um trojan para distribuir um malware clipper, que ele induzia as vítimas a baixar como um executável, a fim de monitorar as áreas de transferência das vítimas em busca de endereços de criptomoedas e os substituir por carteiras controladas pelo criminoso.
smart_display
Nossos vídeos em destaque
Assim, ele redirecionava as transações de criptomoedas sem o conhecimento dos usuários.
Prejuízo de R$ 6,6 milhões em três anos
De 2020 a 2023, o malware disfarçado foi baixado cerca de 2,8 milhões de vezes em todo o mundo. O clipper substituiu endereços de carteiras criptográficas durante as transações, permitindo o roubo por meio de 8.400 transferências de 3.100 carteiras, totalizando cerca de ₩ 1,7 bilhão, quase R$ 6,6 milhões.
Oito vítimas sul-coreanas perderam ₩ 16 milhões por conta desse malware.
Como a investigação levou à prisão do criminoso
A investigação começou em agosto de 2020, quando a polícia recebeu uma denúncia de uma vítima que perdeu 1 Bitcoin, que valia cerca de R$ 50 mil na época. A investigação entendeu que um malware substituiu automaticamente o endereço da carteira da vítima por um controlado pelo hacker durante uma transação.
Os investigadores descobriram uma operação internacional em grande escala visando bolsas e empresas em seis países, rastrearam fluxos ilícitos de criptomoedas e identificaram o suspeito lituano.
Com a ajuda de parceiros internacionais, a polícia apreendeu os dispositivos do suspeito, emitiu um alerta vermelho da Interpol e prendeu o suspeito na Geórgia.
“Vários danos causados por programas maliciosos. Para evitar isso, você deve ter cuidado com programas de fontes desconhecidas”, disse Park Woo-hyun, diretor de investigação cibernética da Agência Nacional de Polícia.
“No futuro, a polícia continuará trabalhando com agências de aplicação da lei em todo o mundo para combater o crime cibernético sem fronteiras. Planejamos responder com rigor, incluindo a repatriação", finaliza o comunicado.
Para continuar informado, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter para mais notícias de tecnologia e segurança.
Perguntas Frequentes
Quem foi o responsável pelo ataque e como ele agia?keyboard_arrow_down
Um lituano de 29 anos foi preso por espalhar um malware baseado no KMSAuto, uma ferramenta de pirataria usada para ativar o Microsoft Office 2019. Ele transformou essa ferramenta em um trojan para distribuir um malware do tipo clipper, que monitorava a área de transferência dos usuários e substituía endereços de carteiras de criptomoedas por endereços controlados por ele, redirecionando transações sem o conhecimento das vítimas.
O que é um malware clipper e como ele funciona?keyboard_arrow_down
Um malware clipper é um tipo de software malicioso que monitora a área de transferência do sistema operacional. Quando detecta que o usuário copiou um endereço de carteira de criptomoeda, ele substitui esse endereço por outro controlado pelo criminoso. Assim, ao colar o endereço para realizar uma transação, a vítima envia os fundos para o hacker sem perceber.
Quantos sistemas foram infectados e qual foi o prejuízo total?keyboard_arrow_down
Entre 2020 e 2023, o malware foi baixado cerca de 2,8 milhões de vezes em todo o mundo. Durante esse período, foram realizadas 8.400 transferências fraudulentas a partir de 3.100 carteiras digitais, resultando em um prejuízo estimado de ₩ 1,7 bilhão, equivalente a aproximadamente R$ 6,6 milhões.
Como a investigação começou e levou à prisão do hacker?keyboard_arrow_down
A investigação teve início em agosto de 2020, após uma denúncia de uma vítima que perdeu 1 Bitcoin, avaliado em cerca de R$ 50 mil na época. A polícia descobriu que o endereço da carteira havia sido substituído automaticamente por um controlado pelo hacker. A partir disso, foi identificada uma operação internacional que afetava empresas em seis países. Com apoio de parceiros internacionais, o suspeito foi localizado, teve seus dispositivos apreendidos e foi extraditado da Geórgia para a Coreia do Sul pela Interpol.
Qual foi o impacto do ataque na Coreia do Sul?keyboard_arrow_down
Na Coreia do Sul, oito vítimas foram diretamente afetadas pelo malware, com perdas que somam ₩ 16 milhões. A investigação foi conduzida pela Agência Nacional da Polícia da Coreia, que também coordenou a cooperação internacional para capturar o criminoso.
O que é o KMSAuto e como ele foi usado no ataque?keyboard_arrow_down
O KMSAuto é uma ferramenta de pirataria popularmente usada para ativar ilegalmente o Microsoft Office 2019. O hacker modificou essa ferramenta, transformando-a em um trojan — um tipo de malware que se disfarça como software legítimo — para distribuir o clipper. As vítimas eram induzidas a baixar o arquivo executável, acreditando que estavam apenas ativando o Office, quando na verdade estavam instalando o malware.
){kind=small}
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
