سرقت ۱.۲ میلیون دلاری با بدافزار کلیپر در پوشش ابزار فعالسازی ویندوز
یک تبعه لیتوانیایی که با انتشار نسخه آلوده ابزار فعالسازی ویندوز KMSAuto بیش از ۲.۸ میلیون سیستم رایانهای را آلوده کرده بود، پس از عملیات مشترک بینالمللی و هماهنگی اینترپل، از گرجستان به کره جنوبی مسترد و بازداشت شد.
این پرونده یکی از بزرگترین نمونههای سرقت ارز دیجیتال با بدافزار کلیپر در سالهای اخیر محسوب میشود.
نحوه عملکرد بدافزار کلیپر و سرقت داراییهای دیجیتال
بر اساس اعلام پلیس کره جنوبی، بدافزار مورد استفاده از نوع Clipper بوده است؛ بدافزاری که با نظارت بر محتوای کلیپبورد، در صورت شناسایی آدرس کیف پول ارز دیجیتال، آن را با آدرس تحت کنترل مهاجم جایگزین میکند.
به این ترتیب، قربانیان هنگام انجام تراکنش، دارایی خود را ناخواسته به حساب هکر منتقل میکردند.
طبق گزارشها، این کمپین از آوریل ۲۰۲۰ تا ژانویه ۲۰۲۳ فعال بوده و مهاجم توانسته است در ۸۴۰۰ تراکنش حدود ۱.۷ میلیارد وون کره جنوبی (معادل ۱.۲ میلیون دلار) را از کاربران سرقت کند. این حملات دستکم ۳۱۰۰ آدرس کیف پول را تحت تأثیر قرار داده است.
گسترش جهانی بدافزار و شناسایی عامل اصلی
پلیس اعلام کرده است که نسخه آلوده KMSAuto در سطح جهانی توزیع شده و حداقل شش صرافی ارز دیجیتال هدف این حملات قرار گرفتهاند.
تحقیقات از اوت ۲۰۲۰ و پس از گزارش یک مورد کریپتوجکینگ آغاز شد. بررسیهای فنی نشان داد منبع آلودگی، نسخه دستکاریشده KMSAuto بوده است.
در ادامه، با ردیابی تراکنشها و تحلیل دادههای بلاکچین، هویت عامل اصلی شناسایی شد.
در دسامبر ۲۰۲۴ پلیس لیتوانی طی عملیات بازرسی، ۲۲ دستگاه الکترونیکی شامل لپتاپ و تلفن همراه را توقیف کرد.
این فرد نهایتاً در آوریل ۲۰۲۵ هنگام سفر از لیتوانی به گرجستان بازداشت و سپس به کره جنوبی منتقل شد.
هشدار درباره خطرات ابزارهای کرک و فعالسازهای غیرقانونی
مقامات کره جنوبی در پایان این گزارش تأکید کردند که ابزارهای کرک و فعالسازهای غیررسمی، یکی از رایجترین بسترهای انتشار بدافزار هستند.
پلیس از کاربران خواست:
- از نصب فعالسازهای غیرقانونی خودداری کنند
- تنها فایلهای دارای امضای دیجیتال معتبر و منبع قابل اعتماد را اجرا کنند
بیتوجهی به این هشدارها میتواند به خسارات مالی گسترده، سرقت داراییهای دیجیتال و نفوذ به سیستمهای شخصی منجر شود.
