Bảo vệ dữ liệu

Hacker người Litva bị bắt, dẫn độ về Hàn Quốc vì phát tán mã độc KMSAuto tới 2,8 triệu máy tính

Nhà chức trách Hàn Quốc vừa bắt giữ và dẫn độ một hacker quốc tịch Litva, bị cáo buộc phát tán mã độc trá hình dưới công cụ kích hoạt bản quyền Windows và Office trái phép (KMSAuto), lây nhiễm hơn 2,8 triệu hệ thống máy tính, chiếm đoạt khoảng 1,7 tỷ won tiền điện tử trên phạm vi toàn cầu.

08:35, 31/12/2025
Ảnh minh họa. IT-connect
Ảnh minh họa. IT-connect

Một công dân Litva, 29 tuổi đã bị bắt giữ và dẫn độ từ Gruzia về Hàn Quốc theo yêu cầu phối hợp của Interpol. Đối tượng bị cáo buộc đứng sau chiến dịch phát tán mã độc quy mô lớn, ngụy trang dưới phần mềm KMSAuto, công cụ thường được sử dụng để kích hoạt trái phép các sản phẩm Windows và Office của Microsoft.

Theo Cơ quan Cảnh sát Quốc gia Hàn Quốc (KNPA), hacker này đã dụ người dùng tải về một tệp thực thi chứa mã độc, có khả năng quét nội dung clipboard (bộ nhớ tạm). Khi phát hiện địa chỉ ví tiền điện tử, mã độc sẽ tự động thay thế bằng địa chỉ ví do kẻ tấn công kiểm soát. Loại mã độc này được gọi là clipper malware.

Cảnh sát cho biết, trong giai đoạn từ tháng 4/2020 đến tháng 1/2023, đối tượng đã phát tán khoảng 2,8 triệu bản sao mã độc trên toàn cầu, ẩn sau một chương trình kích hoạt bản quyền Windows trái phép. Thông qua chiến dịch này, hacker đã đánh cắp tài sản số trị giá khoảng 1,7 tỷ won (tương đương 1,2 triệu USD), thực hiện 8.400 giao dịch trái phép từ 3.100 địa chỉ ví tiền điện tử của nạn nhân.

Cuộc điều tra được khởi động từ tháng 8/2020, sau khi cảnh sát nhận được báo cáo về một vụ tấn công liên quan đến tiền điện tử. Nạn nhân cho biết hệ thống của họ bị nhiễm mã độc clipper, khiến địa chỉ ví người nhận bị thay đổi và dòng tiền bị chuyển hướng sang ví của kẻ tấn công.

Quá trình điều tra sau đó xác định nguồn lây nhiễm bắt nguồn từ công cụ KMSAuto bị cài cắm mã độc. Theo KNPA, chiến dịch này nhắm vào ít nhất sáu sàn giao dịch tiền điện tử khác nhau.

Sau khi lần theo dấu vết dòng tiền bị đánh cắp và xác định nghi phạm, lực lượng chức năng đã tiến hành khám xét tại Litva vào tháng 12/2024, thu giữ 22 tang vật, bao gồm máy tính xách tay và điện thoại di động. Quá trình phân tích các thiết bị này đã cung cấp bằng chứng quan trọng, dẫn tới việc bắt giữ đối tượng vào tháng 4/2025 khi đối tượng đang di chuyển từ Litva sang Gruzia.

Cảnh sát Hàn Quốc khuyến cáo người dùng không sử dụng phần mềm vi phạm bản quyền, bởi các công cụ này tiềm ẩn nguy cơ cao bị cài mã độc. Trên thực tế, nhiều tiện ích kích hoạt trái phép đã bị tội phạm mạng lợi dụng để phát tán malware. Gần đây, các nhóm tin tặc thậm chí còn giả mạo công cụ Microsoft Activation Scripts (MAS) để phát tán các script PowerShell, từ đó triển khai mã độc Cosmali Loader.

Các chuyên gia an ninh mạng khuyến nghị người dùng tránh sử dụng phần mềm kích hoạt không chính thức và hạn chế chạy các tệp thực thi Windows không có chữ ký số hoặc không thể xác minh nguồn gốc và tính toàn vẹn của mã phần mềm.

An Lâm (Theo Bleeping Computer)

Bảo vệ dữ liệu
Hàn Quốc hacker người Litva bắt giữ dẫn độ phát tán mã độc lây nhiễm máy tính chiếm đoạt ví điện tử

Các nước Bắc Âu và Estonia triển khai hệ thống thanh toán thẻ ngoại tuyến đề phòng mất kết nối Internet

Công ty an ninh mạng CrowdStrike sa thải hàng trăm nhân viên

Bình luận

Sự kiện & Quan điểm
Từ cam kết đến hành động: Liên minh Niềm tin số ra mắt Hội đồng Lãnh đạo

Từ cam kết đến hành động: Liên minh Niềm tin số ra mắt Hội đồng Lãnh đạo

Chiều 10/01/2026, Hội nghị toàn thể Liên minh Niềm tin số (Digital Trust Alliance - DTA) lần thứ I chính thức diễn ra tại Hà Nội. Với sự tham dự của gần 200 đại biểu đến từ các cơ quan quản lý nhà nước, doanh nghiệp, nền tảng số, tổ chức xã hội, cùng đông đảo nghệ sĩ, người có ảnh hưởng (KOL) và nhà sáng tạo nội dung là thành viên của Liên minh.