Vírus escondido no famoso ativador KMSAuto infectou quase 3 milhões de PCs

Por Jaqueline Sousa • Editado por Jones Oliveira | 30/12/2025 às 16:00

Compartilhe:

Um homem lituano de 29 anos foi preso pelo suposto envolvimento na infecção de 2,8 milhões de sistemas usando um malware escondido no KMSAuto, famoso recurso utilizado para ativar o Windows e o Microsoft Office sem custos.

De acordo com autoridades policiais coreanas, o suspeito usou a ferramenta para atrair as vítimas, fazendo com que elas baixassem um ativador malicioso ao invés da ferramenta legítima. Na prática, o recurso comprometido escaneia a área de transferência para procurar credenciais de criptomoeda, substituindo-as por endereços corrompidos acessados pelo criminoso.

O resultado dessa empreitada foi quase 3 milhões de sistemas comprometidos pelo malware em todo o mundo, com 1,7 bilhão de won coreano roubado pelo hacker a partir de 8,4 mil transações monetárias online.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

Continua após a publicidade

Vírus escondido

A investigação do caso começou em agosto de 2020 depois que as autoridades receberam uma denúncia de cryptojacking, que consiste no uso não autorizado do processamento do computador ou dispositivo para minerar criptomoedas sem o consentimento do usuário. Muitas vezes, a pessoa nem ao menos sabe que o aparelho é usado para tais fins.

No caso relatado à polícia na época, o sistema da vítima foi infectado pelo malware em questão, que alterou o endereço da carteira de criptomoeda do alvo para redirecionar os pagamentos ao servidor do criminoso.

Foi a partir dessa ocorrência que uma investigação mais detalhada descobriu que o malware estava escondido no KMSAuto, com seis corretoras de criptomoedas sendo visadas pelos ataques inicialmente. O suspeito só foi preso oficialmente neste ano depois de ser identificado e ter seus dispositivos confiscados para análise legal.