Trang chủ Tin tức Cảnh báo: KMSAuto bị “cấy” clipper malware, đánh cắp tiền mã hoá

Cảnh báo: KMSAuto bị “cấy” clipper malware, đánh cắp tiền mã hoá

Các cơ quan chức năng Hàn Quốc phối hợp với Interpol cho biết đã bắt giữ và dẫn độ một công dân Lithuania (29 tuổi), bị cáo buộc đứng sau chiến dịch phát tán mã độc ngụy trang dưới công cụ kích hoạt Windows/Office lậu KMSAuto. Chiến dịch được ghi nhận đã lây nhiễm khoảng 2,8 triệu máy tính trên toàn cầu.

1) Tóm tắt vụ việc

  • • Từ 04/2020 đến 01/2023, nghi phạm bị cáo buộc phát tán khoảng 2,8 triệu bản KMSAuto chứa mã độc.

  • • Mã độc hoạt động dưới dạng clipper malware, tự động:

    • - Theo dõi clipboard.

    • - Phát hiện địa chỉ ví tiền điện tử.

    • - Thay thế bằng địa chỉ ví của nghi phạm.

  • • Kẻ tấn công bị cáo buộc đã đánh cắp:

    • - 8.400 giao dịch.

    • - Từ 3.100 ví tiền điện tử.

    • - Tổng cộng khoảng ₩1,7 tỷ KRW (tương đương ~1,2 triệu USD).

  • • Vụ việc bị phát hiện khi một nạn nhân

2) Cách thức lây nhiễm


Sơ đồ minh họa chuỗi lây nhiễm: KMSAuto giả mạo được phát tán qua website, khi nạn nhân tải/chạy sẽ kích hoạt clipper malware và tự động đổi địa chỉ ví khi giao dịch crypto.

Nạn nhân tải về công cụ “KMSAuto” hoặc các phần mềm crack Windows/Office từ nguồn không rõ ràng. Tệp cài đặt độc hại sau đó:

  • • Bí mật cài mã độc clipper.

  • • Theo dõi hoạt động ví crypto.

  • • Thay đổi địa chỉ nhận tiền trong giao dịch.

  • • Chiếm đoạt tài sản.

3) Nghi phạm đã bị bắt

Sau quá trình điều tra kéo dài hơn 5 năm, cảnh sát Hàn Quốc cho biết đã:

  • • Phối hợp khám xét nơi ở của đối tượng tại Lithuania (12/2024).

  • • Thu giữ laptop, điện thoại và các bằng chứng liên quan.

  • • Phát lệnh truy nã đỏ Interpol.

  • • Bắt giữ nghi phạm tại Georgia và dẫn độ về Hàn Quốc (04/2025).

4) Khuyến nghị an ninh cho người dùng

Để tránh trở thành nạn nhân của các chiến dịch tương tự, người dùng nên tuân thủ:

  • • Không sử dụng phần mềm crack, tool kích hoạt lậu (KMSAuto, MAS, …).
    Các công cụ này thường bị hacker sử dụng làm mồi nhử để cài mã độc, chiếm đoạt mật khẩu, đánh cắp ví tiền mã hóa hoặc điều khiển hệ thống từ xa.
  • • Chỉ tải phần mềm từ nguồn chính thức và ưu tiên file có ký số.
    Không chạy các file .exe không rõ nguồn gốc hoặc không có chữ ký số xác thực.
  • • Kiểm tra kỹ địa chỉ ví trước khi giao dịch.
    Clipper malware có thể thay đổi địa chỉ ví trong vài mili-giây khi copy/paste.
  • • Cài đặt giải pháp bảo mật đáng tin cậy.
    Có thể sử dụng EDR/XDR, tính năng bảo vệ clipboard, hoặc ví phần cứng khi giao dịch crypto.

  • • Thường xuyên cập nhật Windows và Office bằng bản quyền.

Tài liệu tham khảo

• SecurityAffairs
• BleepingComputer
• MK (Maeil).

Các tin đã đăng