Een besmette tool voor het activeren van Windows, die in de achtergrond cryptovaluta steelt, is wereldwijd zo'n 2,8 miljoen keer gedownload. Dat laat de Zuid-Koreaanse politie weten. Een verdachte die voor de malware verantwoordelijk zou zijn is na een internationaal arrestatiebevel aangehouden en uitgeleverd aan Zuid-Korea. KMSAuto is een tool voor het activeren van illegale Windowsversies.

Volgens de Zuid-Koreaanse autoriteiten werd een aangepaste, besmette versie van KMSAuto tussen april 2020 en januari 2023 zo'n 2,8 miljoen keer gedownload. De aangepaste versie was besmet met clipper-malware. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina.

Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde.

De verdachte zou op deze manier een miljoen euro aan cryptovaluta hebben gestolen. Verschillende slachtoffers van de malware bevinden zich in Zuid-Korea. Deze personen zouden bij elkaar ruim 9.000 euro aan crypto hebben verloren. Het onderzoek naar de malware leidde naar een Litouwse man. Die werd door de Georgische autoriteiten aangehouden toen hij van Litouwen naar Georgië vloog. Inmiddels is de verdachte aan Zuid-Korea uitgeleverd. Om besmettingen met malware te voorkomen adviseert de Zuid-Koreaanse politie onder andere om geen illegale software te gebruiken.