WindowsおよびOfficeソフトウェアを不正に有効化するためのKMSAutoツールを装ったクリップボード窃取型マルウェアで、280万台のシステムに感染させた疑いに関与したとして、リトアニア国籍の人物が逮捕されました。
29歳の男は、インターポールの調整の下で行われた関連要請を受け、ジョージアから韓国へ身柄を引き渡されました 。
韓国警察庁によると、容疑者はKMSAutoを使って被害者を誘導し、悪意のある実行ファイルをダウンロードさせました。この実行ファイルはクリップボード内の暗号資産アドレスをスキャンし、攻撃者が管理するアドレスに置き換えるもので、「クリッパーマルウェア」として知られています。
韓国警察庁によると、容疑者はKMSAutoツールにマルウェアを追加し、クリップボードの内容から暗号資産アドレスを確認して、送金先アドレスを攻撃者が管理するものに変更していました。この種の脅威はクリッパーマルウェアと呼ばれます。
「2020年4月から2023年1月まで、ハッカーは違法なWindowsライセンス有効化プログラム(KMSAuto)を装ったマルウェアを、世界中に280万件配布した」 と、警察は 述べています。
「このマルウェアを通じて、ハッカーは3,100の仮想資産アドレスの利用者から、8,400件の取引で約17億ウォン(120万ドル)相当の仮想資産を盗んだ。」
警察は2020年8月、クリプトジャッキングに関する通報を受けて捜査を開始しました。被害者のシステムがクリッパーマルウェアに感染し、意図した受取人のウォレットアドレスがすり替えられて、支払いが攻撃者へ送られるようになっていました。
出典: police.go.kr
捜査により、前述のKMSAutoツールを介したマルウェア感染が判明しました。捜査当局によると、このクリッパーは少なくとも6つの暗号資産取引所を標的にしていました。
盗難額を追跡して犯人を特定した後、2024年12月にリトアニアで家宅捜索が行われ、ノートパソコンや携帯電話など22点が押収されました。
押収品の解析により不利な証拠が見つかり、最終的に、容疑者がリトアニアからジョージアへ移動中だった2025年4月にハッカーは逮捕されました。
韓国警察は、著作権を侵害する違法ソフトウェアの使用は危険であり 、そのようなツールがシステムにマルウェアを持ち込む可能性があるとして注意を呼びかけています。
この種のユーティリティ は 、しばしばマルウェア配布に利用されてきました。最近では、サイバー犯罪者がMicrosoft Activation Scripts(MAS)ツールになりすまし、Cosmali Loaderマルウェアを配信するPowerShellスクリプトを拡散しました。
非公式のソフトウェア製品アクティベーターの使用は避けること、そしてより一般的には、デジタル署名がなく、出所や完全性を検証できないWindows実行ファイルは使用しないことが推奨されます。
