Dacă ai încercat să activezi Windows sau Office piratat, s-ar putea să fii în pericol. 2.8 milioane de sisteme infectate cu KMSAuto

Autoritățile din Coreea de Sud au anunțat arestarea unui cetățean lituanian, acuzat că a fost implicat într-o amplă campanie de distribuire a unui malware mascat sub forma popularului instrument KMSAuto, folosit ilegal pentru activarea Windows și Microsoft Office.

Potrivit anchetatorilor, atacul a dus la infectarea a aproximativ 2,8 milioane de sisteme la nivel global și la furtul de criptomonede în valoare de peste 1,2 milioane de dolari.

Suspectul, în vârstă de 29 de ani, a fost extrădat din Georgia în Coreea de Sud în urma unei solicitări realizate prin intermediul Interpol. Investigația a fost coordonată de Agenția Națională de Poliție din Coreea, care urmărea de mai mulți ani o rețea de distribuție a unui malware specializat în deturnarea tranzacțiilor cu criptomonede, scrie Bleeping Computer.

Conform autorităților, atacatorul a exploatat dorința utilizatorilor de a evita plata licențelor software, oferindu-le un executabil aparent legitim, dar care conținea un cod malițios sofisticat, capabil să intercepteze date sensibile fără ca victimele să își dea seama.

Cum funcționa malware-ul ascuns în KMSAuto

Programul malițios era distribuit sub forma unei versiuni modificate a KMSAuto, un instrument cunoscut pentru activarea ilegală a produselor Microsoft.

Odată instalat, malware-ul scana constant conținutul clipboard-ului utilizatorului, în căutarea adreselor de portofel crypto.

Atunci când detecta o astfel de adresă, aceasta era înlocuită automat cu una controlată de atacator, redirecționând fondurile fără ca victima să observe schimbarea.

Acest tip de amenințare este cunoscut sub denumirea de „clipper malware” și este deosebit de periculos, deoarece nu necesită interacțiuni suplimentare din partea utilizatorului. Simplul act de copiere și lipire a unei adrese de portofel este suficient pentru ca tranzacția să fie compromisă.

Potrivit poliției sud-coreene, între aprilie 2020 și ianuarie 2023, au fost distribuite aproximativ 2,8 milioane de copii ale acestui malware în întreaga lume.

În acest interval, atacatorul ar fi realizat peste 8.400 de tranzacții frauduloase, sustrăgând active digitale din aproximativ 3.100 de portofele diferite. Valoarea totală a criptomonedelor furate a fost estimată la 1,7 miliarde de woni sud-coreeni.

Ancheta a pornit în august 2020, după ce o victimă a raportat un caz de deturnare a unei tranzacții crypto, inițial suspectat drept cryptojacking. Investigațiile ulterioare au dus la identificarea legăturii dintre infectare și utilizarea KMSAuto.

Avertismentul autorităților

Pe parcursul anchetei, autoritățile au stabilit că malware-ul a vizat utilizatori ai cel puțin șase platforme de tranzacționare a criptomonedelor.

După urmărirea fluxurilor financiare și identificarea suspectului, poliția a efectuat un raid în Lituania, în decembrie 2024, unde au fost confiscate 22 de dispozitive, inclusiv laptopuri și telefoane mobile.

Analiza echipamentelor ridicate a furnizat probe care au dus, în cele din urmă, la arestarea suspectului în aprilie 2025, în timp ce acesta călătorea din Lituania spre Georgia. Ulterior, a fost extrădat în Coreea de Sud pentru a răspunde acuzațiilor.

Autoritățile reamintesc că utilizarea software-ului piratat implică riscuri semnificative de securitate, astfel de instrumente fiind frecvent folosite ca vectori de distribuție pentru malware.

În ultimii ani, infractorii cibernetici au imitat inclusiv alte utilitare de activare, precum Microsoft Activation Scripts, pentru a răspândi programe malițioase complexe.

Specialiștii în securitate recomandă evitarea executabilelor nesemnate digital și a oricărui software a cărui origine nu poate fi verificată.

Cazul KMSAuto reprezintă un exemplu clar al modului în care economiile aparente obținute prin folosirea programelor ilegale pot duce la pierderi financiare mult mai mari, în special în contextul tranzacțiilor cu criptomonede.