Un ciudadano lituano ha sido detenido por su supuesta implicación en la
infección de 2,8 millones de dispositivos con malware diseñado para robar
información del portapapeles, disfrazado como KMSAuto, una herramienta
utilizada para la activación ilegal de Windows y Office.
El individuo de 29 años fue extraditado de Georgia a Corea del Sur
tras una solicitud coordinada por Interpol.
Según la Agencia Nacional de Policía de Corea, el sospechoso empleó KMSAuto
para engañar a las víctimas y hacer que descargaran un ejecutable malicioso
que analizaba el portapapeles en busca de direcciones de criptomonedas,
sustituyéndolas por las del atacante. Esta amenaza se conoce como malware clipper.
Según la misma agencia, el sospechoso introdujo malware en la herramienta KMSAuto,
lo cual permitía verificar el contenido del portapapeles para cambiar las
direcciones de destino a las controladas por el delincuente.
«De abril de 2020 a enero de 2023, el acusado distribuyó 2,8 millones
de versiones de malware en todo el mundo a través de un programa ilegal
para la activación de licencias de Windows (KMSAuto)», afirma la
policía en un comunicado disponible en su sitio web.
«Con este malware, se apropiaron de activos virtuales valorados en
aproximadamente 1.700 millones de KRW (1,2 millones de dólares) en
8.400 transacciones de 3.100 direcciones de activos virtuales».
La investigación comenzó en agosto de 2020 tras un informe sobre
cryptojacking, en el que el sistema de la víctima fue infectado con
un malware clipper que alteraba la dirección de la billetera del
destinatario, redirigiendo los pagos al atacante.
La pesquisa reveló la infección de malware a través de la modificada
herramienta KMSAuto. Tras rastrear las cantidades sustraídas e identificar
al responsable, se realizó un allanamiento en Lituania en diciembre de
2024, donde se confiscaron 22 objetos, incluidos ordenadores portátiles y
teléfonos móviles. El análisis de los dispositivos incautados aportó pruebas
incriminatorias, lo que condujo finalmente al arresto en abril de 2025
mientras se desplazaba de Lituania a Georgia.
Utilizar software ilegal que infringe los derechos de autor es una actividad
riesgosa, ya que estas herramientas pueden introducir malware en el sistema.
Este tipo de programas se ha utilizado en repetidas ocasiones
para propagar malware. Recientemente, ciberdelincuentes falsificaron la herramienta
Microsoft Activation Scripts (MAS) para
distribuir scripts de PowerShell
que propagaron el malware Cosmali Loader.
Se ha informado que los atacantes crearon un dominio similar,
«get.activate[.]win», que se asemeja mucho al legítimo que figura en las
instrucciones de activación oficiales de MAS, get.activated.win.
Se recomienda evitar el uso de activadores de software no oficiales y, en general,
cualquier ejecutable de Windows que no esté digitalmente firmado y cuya fuente o integridad
no pueda ser verificada.
Fuente:
BC
Con Información de blog.segu-info.com.ar