Un ciudadano lituano fue arrestado por su presunta participación en la
infección de 2,8 millones de sistemas con malware de robo de portapapeles
camuflado en la herramienta KMSAuto para la activación ilegal de Windows y
Office.
El hombre de 29 años fue extraditado de Georgia a Corea del Sur tras una
solicitud relacionada bajo la coordinación de Interpol.
Según la Agencia Nacional de Policía de Corea, el sospechoso utilizó KMSAuto
para engañar a las víctimas y hacer que descargaran un ejecutable malicioso
que escaneaba el portapapeles en busca de direcciones de criptomonedas y las
reemplazaba por las controladas por el atacante. Este tipo de amenaza se
denomina malware clipper.
Según la Agencia Nacional de Policía de Corea,
el sospechoso añadió malware a la herramienta KMSAuto, que verificaba
el contenido del portapapeles en busca de direcciones de criptomonedas y
cambiaba la dirección de destino a una controlada por el atacante.
«De abril de 2020 a enero de 2023, el delincuente distribuyó 2,8 millones
de copias de malware en todo el mundo camuflado en un programa ilegal de
activación de licencias de Windows (KMSAuto)», afirma la policía.
«Mediante este malware, robó activos virtuales por un valor aproximado de
1.700 millones de KRW (1,2 millones de dólares) en 8.400 transacciones de
usuarios de 3.100 direcciones de activos virtuales».
La policía inició la investigación en agosto de 2020, tras un informe sobre
cryptojacking, en el que el sistema de la víctima fue infectado por
malware clipper, que intercambiaba la dirección de la billetera del
destinatario para dirigir los pagos al atacante.
La investigación descubrió una infección de malware a través de la mencionada
herramienta KMSAuto. modificada. Tras rastrear las cantidades robadas e
identificar al autor, en diciembre de 2024 se llevó a cabo un allanamiento en
Lituania, donde se confiscaron 22 artículos, entre ellos ordenadores
portátiles y teléfonos móviles. El análisis de los objetos incautados reveló
pruebas incriminatorias, lo que finalmente condujo al arresto en abril de
2025, mientras viajaba de Lituania a Georgia.
El uso de software ilegal que infringe los derechos de autor es arriesgado,
ya que estas herramientas pueden introducir malware en el sistema.
Este tipo de utilidad se ha utilizado con frecuencia
para distribuir malware. Recientemente, ciberdelincuentes suplantaron la herramienta Microsoft
Activation Scripts (MAS) para
distribuir scripts de PowerShell
que distribuyeron el malware Cosmali Loader.
Según los informes, los atacantes habían creado un dominio similar,
«get.activate[.]win», que se parece mucho al legítimo que aparece en
las
instrucciones oficiales de activación de MAS, get.activated.win.
Se recomienda evitar el uso de activadores de productos de software no
oficiales y, en general, cualquier ejecutable de Windows que no esté firmado
digitalmente y cuya fuente o integridad no pueda validarse.
Fuente:
BC