Um cidadão lituano de 29 anos foi preso na Geórgia sob suspeita de infectar 2,8 milhões de computadores com um malware que manipula o conteúdo da área de transferência, disfarçado de utilitário KMSAuto para ativação não licenciada do Microsoft Office e do Windows.
Fonte da imagem: Ed Hardie / unsplash.com
De acordo com os investigadores, o suspeito enganou as vítimas para que baixassem um arquivo executável malicioso disfarçado de KMSAuto. Quando executado, o arquivo aciona um algoritmo perigoso. Esse algoritmo monitora os endereços de carteiras de criptomoedas na área de transferência e os substitui por endereços controlados pelo atacante. Esse tipo de malware é chamado de “vírus clipper”.
“De abril de 2020 a janeiro de 2023, um hacker distribuiu 2,8 milhões de cópias de um malware disfarçado de programa ilegal de ativação de licença do Windows (KMSAuto) em todo o mundo. Usando esse malware, o hacker roubou ativos virtuais no valor aproximado de 1,7 bilhão de won (US$ 1,2 milhão) em 8.400 transações de usuários de 3.100 ativos virtuais”, afirmou a Agência Nacional de Polícia da Coreia.
A polícia iniciou uma investigação em agosto de 2020 após uma denúncia de roubo de criptomoedas. As autoridades rastrearam os fundos, identificaram o suspeito e realizaram uma operação na Lituânia em dezembro de 2024, apreendendo 22 itens, incluindo laptops e celulares. Uma investigação revelou evidências que levaram à prisão do homem em abril de 2025, enquanto viajava da Lituânia para a Geórgia.
A polícia sul-coreana alertou o público de que o uso de softwares criados para infringir direitos autorais é arriscado — malwares podem ser introduzidos no sistema juntamente com esses utilitários. Recomenda-se evitar o uso de ativadores de software não oficiais e quaisquer arquivos executáveis do Windows que não possuam assinatura digital.cuja integridade não pode ser verificada.