ในช่วงปลายปี 2025 ตำรวจเกาหลีใต้เปิดเผยความคืบหน้าคดีอาชญากรรมไซเบอร์รายใหญ่ หลังสามารถจับกุมแฮกเกอร์ชาวลิทัวเนียวัย 29 ปี ซึ่งอยู่เบื้องหลังการแพร่ KMSAuto ปลอมไปทั่วโลก ส่งผลให้มีคอมพิวเตอร์ติดมัลแวร์มากกว่า 2.8 ล้านเครื่อง และเกิดความเสียหายจากการโจรกรรมคริปโทเคอร์เรนซีคิดเป็นมูลค่ากว่า 46 ล้านบาท
คดีนี้ถือเป็นอีกหนึ่งตัวอย่างชัดเจนของความเสี่ยงจากการใช้ซอฟต์แวร์เถื่อน โดยเฉพาะเครื่องมือ Activate Windows หรือ Office อย่าง KMSAuto ที่มักถูกใช้เป็นช่องทางฝังมัลแวร์มานานแล้ว
ใช้ KMSAuto ปลอมเป็นเหยื่อล่อ ฝัง Clipper Malware
ตามข้อมูลจากสำนักงานตำรวจแห่งชาติเกาหลีใต้ (Korean National Police Agency) ผู้ต้องหาได้แจกจ่ายไฟล์ KMSAuto เวอร์ชันที่ถูกดัดแปลง ซึ่งภายนอกดูเหมือนเป็นเครื่องมือ Activate Windows และ Microsoft Office แบบผิดกฎหมายทั่วไป
แต่ในความเป็นจริง ไฟล์ดังกล่าวถูกฝัง clipper malware เอาไว้ โดยมัลแวร์ประเภทนี้จะคอยตรวจสอบข้อมูลใน clipboard ของระบบ หากพบว่าผู้ใช้คัดลอก address กระเป๋าเงินคริปโต มันจะเปลี่ยนปลายทางเป็น wallet ของแฮกเกอร์ทันทีโดยที่ผู้ใช้ไม่รู้ตัว
ผลลัพธ์คือ เมื่อผู้ใช้ทำธุรกรรมโอนคริปโต เงินทั้งหมดจะถูกส่งไปยังผู้โจมตีแทน
แพร่มัลแวร์กว่า 2.8 ล้านครั้งทั่วโลก
ตำรวจระบุว่า ระหว่างเดือนเมษายน 2020 ถึงมกราคม 2023 แฮกเกอร์รายนี้สามารถเผยแพร่ KMSAuto ได้มากถึง 2.8 ล้านชุดทั่วโลก ครอบคลุมผู้ใช้งานในหลายประเทศ
จากการสืบสวนพบว่า มี wallet ผู้เสียหายอย่างน้อย 3,100 address ที่ถูกโจมตี และเกิดธุรกรรมขโมยคริปโตมากกว่า 8,400 ครั้ง รวมมูลค่าความเสียหายประมาณ 1.7 พันล้านวอนเกาหลีใต้ หรือราว 46 ล้านบาทไทย
มัลแวร์ดังกล่าวยังถูกพบว่าเชื่อมโยงกับการโจมตีผู้ใช้งานคริปโตผ่านแพลตฟอร์ม exchange อย่างน้อย 6 แห่ง ทำให้ขอบเขตของความเสียหายขยายวงกว้างกว่าที่คาดไว้ในช่วงแรก
จุดเริ่มต้นคดี มาจากรายงานเหยื่อ Cryptojacking
การสอบสวนเริ่มต้นขึ้นตั้งแต่เดือนสิงหาคม 2020 หลังมีผู้เสียหายรายหนึ่งแจ้งความว่าเงินคริปโตของตนถูกโอนออกไปโดยไม่ตั้งใจ ภายหลังพบว่าคอมพิวเตอร์ติดมัลแวร์ที่เปลี่ยน address ระหว่างการโอน
เมื่อตรวจสอบเชิงลึก ตำรวจพบว่าต้นตอของการติดมัลแวร์มาจากเครื่องมือ KMSAuto ปลอม ซึ่งนำไปสู่การขยายผลและติดตามเส้นทางการเงินของคริปโตที่ถูกขโมย
ตรวจค้นในลิทัวเนีย ก่อนจับกุมได้ระหว่างเดินทาง
หลังสามารถระบุตัวผู้ต้องสงสัยได้ ตำรวจเกาหลีใต้ได้ประสานงานกับหน่วยงานระหว่างประเทศผ่าน Interpol จนนำไปสู่การบุกตรวจค้นในประเทศลิทัวเนียเมื่อเดือนธันวาคม 2024
ในการเข้าตรวจค้นครั้งนั้น เจ้าหน้าที่สามารถยึดอุปกรณ์ได้มากถึง 22 รายการ รวมถึง laptop และโทรศัพท์มือถือ ซึ่งภายหลังพบหลักฐานสำคัญที่เชื่อมโยงกับการพัฒนาและกระจาย KMSAuto
สุดท้าย แฮกเกอร์รายนี้ถูกจับกุมได้ในเดือนเมษายน 2025 ขณะเดินทางจากลิทัวเนียไปยังประเทศจอร์เจีย ก่อนถูกส่งตัวข้ามแดนมายังเกาหลีใต้เพื่อดำเนินคดี
ใช้ซอฟต์แวร์เถื่อน เสี่ยงติดมัลแวร์โดยไม่รู้ตัว
ตำรวจเกาหลีใต้ออกมาเตือนประชาชนอีกครั้งว่า การใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ โดยเฉพาะเครื่องมือ Activate Windows หรือ Office แบบไม่ถูกต้อง เป็นความเสี่ยงสูงอย่างมากต่อความปลอดภัยของระบบ
ซอฟต์แวร์ประเภทนี้ถูกใช้เป็นช่องทางแพร่มัลแวร์มาหลายครั้งในอดีต ไม่ใช่เฉพาะกรณี KMSAuto เท่านั้น ล่าสุดยังมีกรณีที่อาชญากรไซเบอร์ปลอมเครื่องมือ Microsoft Activation Scripts (MAS) เพื่อแพร่ PowerShell script ที่นำไปสู่ Cosmali Loader malware อีกด้วย
คำแนะนำด้านความปลอดภัยสำหรับผู้ใช้ Windows
หน่วยงานด้านความปลอดภัยแนะนำว่า ผู้ใช้งานควรหลีกเลี่ยงซอฟต์แวร์ Activate ที่ไม่เป็นทางการทุกประเภท และไม่ควรเปิดไฟล์ Windows executable ที่ไม่มี digital signature หรือไม่สามารถตรวจสอบแหล่งที่มาได้อย่างชัดเจน
แม้การใช้ซอฟต์แวร์เถื่อนอาจดูเหมือนช่วยประหยัดค่าใช้จ่ายในระยะสั้น แต่ความเสียหายจากมัลแวร์ โดยเฉพาะกรณีที่เกี่ยวข้องกับคริปโทเคอร์เรนซี อาจสูงกว่าหลายเท่าตัว และยากต่อการกู้คืน
บทสรุป
คดี KMSAuto ครั้งนี้สะท้อนให้เห็นชัดเจนว่า อาชญากรรมไซเบอร์ยังคงพัฒนาอย่างต่อเนื่อง และมักอาศัยพฤติกรรมผู้ใช้เป็นจุดอ่อนสำคัญ การเลือกใช้ซอฟต์แวร์ถูกลิขสิทธิ์ และใส่ใจเรื่องความปลอดภัยของระบบ ยังคงเป็นวิธีป้องกันที่ดีที่สุดในระยะยาว โดยเฉพาะในยุคที่คริปโทเคอร์เรนซีและธุรกรรมดิจิทัลกลายเป็นเรื่องใกล้ตัวมากขึ้นเรื่อย ๆ
ที่มา: bleepingcomputer
