Amplamente conhecido entre usuários que recorrem à pirataria de licenças da Microsoft, o KMSAuto ganhou fama por permitir a ativação ilegal do Windows e do Office de forma simples e rápida. No entanto, essa popularidade, somada à inexistência de um repositório oficial e confiável, transformou a ferramenta em um vetor recorrente para a disseminação de vírus e malwares.
Esse cenário se confirmou recentemente com a descoberta de uma versão modificada do KMSAuto que pode ter infectado cerca de 2,8 milhões de computadores em todo o mundo. O malware foi utilizado em uma campanha de roubo de criptomoedas em larga escala.
De acordo com a Agência Nacional de Polícia da Coreia do Sul, um cidadão lituano de 29 anos foi extraditado da Geórgia para o país asiático após uma operação coordenada pela Interpol. Ele é acusado de explorar o nome do KMSAuto para enganar usuários e levá-los a baixar uma versão adulterada do software.
Segundo as autoridades, o programa malicioso tinha a função de monitorar a área de transferência do Windows em busca de endereços de criptomoedas. Ao detectar uma carteira copiada pelo usuário, o malware substituía o endereço por outro controlado pelo criminoso, desviando os valores das transações.
Em comunicado oficial, a polícia informou que, entre abril de 2020 e janeiro de 2023, o hacker distribuiu aproximadamente 2,8 milhões de cópias do malware disfarçado de ativador ilegal do Windows. A ação teria resultado no roubo de ativos virtuais avaliados em cerca de KRW 1,7 bilhão (aproximadamente R$ 6,5 milhões), por meio de 8.400 transações envolvendo 3.100 endereços de criptomoedas.
Após o rastreamento dos valores e a identificação do responsável, uma operação foi realizada na Lituânia, em dezembro de 2024, culminando na apreensão de 22 itens, incluindo notebooks e telefones celulares, que forneceram provas consideradas decisivas. O suspeito foi preso em abril de 2025, enquanto viajava da Lituânia para a Geórgia.
Até o momento, não há informações oficiais sobre como usuários podem verificar se seus computadores foram comprometidos pela versão maliciosa do KMSAuto. O caso, no entanto, reforça o alerta sobre os riscos do uso de instaladores de origem desconhecida, destacando a importância de baixar softwares apenas de fontes confiáveis e de evitar ferramentas de ativação ilegal, que frequentemente servem como porta de entrada para ataques cibernéticos.
