Um cidadão lituano foi preso sob suspeita de envolvimento na infecção de 2,8 milhões de sistemas com um clipper malware, que rouba dados da área de transferência.
O software malicioso estava disfarçado como a ferramenta KMSAuto, amplamente utilizada para ativar ilegalmente o Windows e o Office.
O homem, de 29 anos, foi extraditado da Geórgia para a Coreia do Sul após um pedido coordenado pela Interpol.
Segundo a Korean National Police Agency, o suspeito usava o KMSAuto para induzir vítimas a baixar um executável malicioso.
Esse programa monitorava o clipboard em busca de endereços de criptomoedas, substituindo-os por carteiras controladas pelos criminosos — uma técnica conhecida como clipper malware.
Entre abril de 2020 e janeiro de 2023, o hacker distribuiu 2,8 milhões de cópias do malware pelo mundo, disfarçado como um ativador ilegal do Windows, segundo as autoridades sul-coreanas.
Com essa estratégia, o criminoso conseguiu roubar ativos virtuais avaliados em cerca de 1,7 bilhão de wons sul-coreanos (aproximadamente 1,2 milhão de dólares), em 8.400 transações envolvendo 3.100 carteiras de usuários.
A investigação teve início em agosto de 2020, após denúncias de cryptojacking.
Nesses casos, o sistema da vítima era infectado pelo clipper malware, que alterava o endereço de recebimento das criptomoedas, redirecionando os pagamentos para o atacante.
De acordo com os investigadores, pelo menos seis exchanges de criptomoedas foram afetadas.
Em dezembro de 2024, uma operação na Lituânia resultou na apreensão de 22 itens, entre laptops e smartphones, além do rastreamento dos valores roubados e da identificação do suspeito.
As análises dos dispositivos apreendidos forneceram provas suficientes para a prisão do hacker, que ocorreu em abril de 2025 durante uma viagem da Lituânia à Geórgia.
A polícia sul-coreana alerta que o uso de softwares ilegais e ferramentas não autorizadas para ativação representa riscos graves, já que esses programas costumam ser vetores para a disseminação de malwares.
Esse cenário é semelhante a ataques recentes em que criminosos divulgaram scripts PowerShell camuflados como Microsoft Activation Scripts (MAS), usados para distribuir o malware Cosmali Loader.
Por isso, recomenda-se evitar ativadores não oficiais e, de modo geral, quaisquer executáveis do Windows que não sejam assinados digitalmente ou cuja origem e integridade não possam ser verificadas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...