Conhecido há anos entre usuários que recorrem à pirataria de software, o KMSAuto ganhou notoriedade por facilitar a ativação ilegal do Windows e do Microsoft Office com poucos cliques. A promessa de praticidade, no entanto, sempre veio acompanhada de um risco elevado: a ausência de fontes oficiais e confiáveis para download transforma esse tipo de ferramenta em um terreno fértil para a disseminação de malwares.
Esse risco se confirmou recentemente em escala global. Uma versão adulterada do KMSAuto teria infectado cerca de 2,8 milhões de computadores ao redor do mundo, segundo autoridades sul-coreanas, sendo usada como vetor para um esquema de roubo de criptomoedas.
De acordo com a Agência de Polícia Nacional Coreana, o responsável pelo ataque é um cidadão lituano de 29 anos, que foi extraditado da Geórgia para a Coreia do Sul após uma solicitação internacional coordenada pela Interpol. O suspeito teria explorado a popularidade do KMSAuto para enganar usuários, oferecendo um instalador falso que, na prática, continha código malicioso.
O malware atuava de forma silenciosa no sistema, monitorando a área de transferência do Windows. Sempre que o usuário copiava um endereço de carteira de criptomoedas, o código substituía automaticamente o destino por uma chave controlada pelo criminoso. Esse tipo de ataque é especialmente difícil de detectar, já que ocorre sem alertas visíveis e apenas no momento da transação.
As investigações apontam que, entre abril de 2020 e janeiro de 2023, o hacker distribuiu aproximadamente 2,8 milhões de cópias do malware disfarçado de ativador de licença. No período, o esquema teria movimentado cerca de KRW 1,7 bilhão — o equivalente a aproximadamente R$ 6,5 milhões — em mais de 8.400 transações, envolvendo ao menos 3.100 carteiras de ativos virtuais.
O rastreamento financeiro levou as autoridades até o suspeito, resultando em uma operação realizada na Lituânia em dezembro de 2024. Na ação, foram apreendidos notebooks, smartphones e outros dispositivos eletrônicos, que forneceram provas consideradas decisivas. A prisão ocorreu em abril de 2025, durante uma viagem do investigado entre a Lituânia e a Geórgia.
Até o momento, não há informações oficiais sobre métodos que permitam aos usuários verificarem se seus computadores foram infectados por essa versão específica do malware. Ainda assim, o caso reacende um alerta recorrente no setor de segurança digital: ferramentas de ativação ilegal representam riscos reais e podem resultar em perdas financeiras significativas, além da exposição de dados pessoais.
Especialistas reforçam que a única forma eficaz de evitar esse tipo de ameaça é utilizar softwares originais e realizar downloads exclusivamente por canais oficiais ou fontes amplamente reconhecidas. Em um cenário em que golpes digitais se tornam cada vez mais sofisticados, a economia obtida com soluções piratas pode custar caro no médio e longo prazo.
Via: BleepingComputer
