Um homem de 22 anos foi preso na Coreia do Sul após uma investigação internacional revelar seu envolvimento em uma campanha de malware baseada em versões modificadas da ferramenta KMSAuto. A operação maliciosa, que durou mais de dois anos, resultou em cerca de 2,8 milhões de downloads em todo o mundo e afetou usuários em larga escala com malwares projetados para roubar criptomoedas. O suspeito desenvolvia e distribuía versões adulteradas do KMSAuto, um ativador de software amplamente usado para desbloquear ilegalmente produtos Microsoft.
Nessas versões modificadas, ele incluía um malware do tipo clipper, que monitorava a área de transferência do sistema em busca de endereços de carteiras de criptomoedas. Quando detectava um endereço de carteira sendo copiado, o malware substituía automaticamente o destino original por um endereço controlado pelo criminoso. Essa técnica permitiu que ele interceptasse transações de criptomoedas de forma silenciosa, desviando os fundos para suas próprias carteiras. A investigação foi coordenada por autoridades sul-coreanas com apoio de agências internacionais. O autor da campanha mantinha vários domínios e canais de distribuição, além de contar com sistemas automatizados para espalhar o malware por meio de sites, fóruns e redes sociais.
As amostras analisadas pelos investigadores revelaram que o malware era altamente persistente e se escondia usando técnicas de ofuscação. Uma vez instalado, ele se mantinha ativo mesmo após reinicializações do sistema, o que dificultava sua detecção por antivírus comuns. A campanha teve um alcance global, com vítimas em diversos países, especialmente em regiões com altos índices de uso de ferramentas de ativação ilegais. Estima-se que o autor tenha arrecadado grandes quantias em criptomoedas ao longo do período em que o malware esteve ativo. Durante a operação de busca e apreensão, as autoridades confiscaram diversos dispositivos, carteiras digitais e evidências digitais relacionadas à operação. O suspeito foi posteriormente extraditado para os Estados Unidos, onde deve responder por crimes cibernéticos e fraudes financeiras.
