Um cidadão lituano de 29 anos foi detido e extraditado da Geórgia para a Coreia do Sul, sob a acusação de infetar cerca de 2,8 milhões de computadores em todo o mundo. O suspeito utilizava uma versão modificada de uma ferramenta popular de pirataria para roubar criptomoedas, num esquema que lhe rendeu mais de um milhão de dólares.
Segundo as informações avançadas pela Agência Nacional de Polícia da Coreia, o indivíduo disfarçava o malware dentro do KMSAuto, uma ferramenta amplamente utilizada para ativar ilegalmente cópias do Windows e do Office.
O perigo do malware "Clipper"
O método utilizado pelo atacante baseava-se num tipo de ameaça conhecida como "clipper malware". Ao descarregarem o suposto ativador de software, as vítimas instalavam inadvertidamente um executável malicioso. Este programa monitorizava a área de transferência (clipboard) do sistema à procura de endereços de carteiras de criptomoedas.
Quando o utilizador copiava um endereço legítimo para realizar uma transferência, o malware substituía-o instantaneamente por um endereço controlado pelo hacker. Dado que os endereços de criptomoedas são longas sequências de caracteres, a troca passava muitas vezes despercebida pela vítima, que acabava por enviar os fundos diretamente para o criminoso.
Este tipo de cibercrime permitiu ao hacker desviar ativos virtuais no valor aproximado de 1,7 mil milhões de wons (cerca de 1,2 milhões de dólares ou 1,14 milhões de euros) através de 8.400 transações ilícitas, afetando utilizadores de 3.100 carteiras diferentes.
Uma investigação à escala global
As autoridades sul-coreanas iniciaram a investigação em agosto de 2020, após receberem uma denúncia de "cryptojacking". A análise forense revelou que o sistema da vítima tinha sido comprometido através do KMSAuto, visando pelo menos seis casas de câmbio de criptomoedas.
A operação de rastreio culminou numa rusga na Lituânia em dezembro de 2024, onde foram confiscados 22 itens, incluindo computadores portáteis e telemóveis. A análise destes equipamentos forneceu as provas incriminatórias necessárias, levando à detenção do suspeito em abril de 2025, intercetado enquanto viajava da Lituânia para a Geórgia.
A polícia alerta que o uso de software que viola direitos de autor acarreta riscos elevados de segurança. Este caso não é único; recentemente, criminosos também se fizeram passar pela ferramenta Microsoft Activation Scripts (MAS) para distribuir um ativador falso do Windows que espalhava scripts maliciosos.
A recomendação das autoridades é clara: evitar a utilização de ativadores de produtos não oficiais e, de forma geral, não executar ficheiros que não estejam assinados digitalmente ou cuja origem não possa ser validada.
Nenhum comentário
Seja o primeiro!