KMSAuto: versione fasulla ruba le criptovalute
Topic
Approfondimenti
Trending
tutti

KMSAuto: versione fasulla ruba le criptovalute

Un cybercriminale ha distribuito una versione fasulla del tool KMSAuto che nascondeva il malware usato per rubare un miliardo di euro in criptovalute.
KMSAuto: versione fasulla ruba le criptovalute
Sicurezza
Un cybercriminale ha distribuito una versione fasulla del tool KMSAuto che nascondeva il malware usato per rubare un miliardo di euro in criptovalute.
Google AI Studio

Un cittadino di nazionalità lituana di 29 anni è stato arrestato in Georgia ed estradato in Corea del Sud tramite mandato Interpol. È stato accusato dalle autorità coreane di aver rubato oltre 1,7 miliardi di won (circa un miliardo di euro) in criptovalute con una versione fasulla del tool KMSAuto, noto attivatore per copie pirata di Windows e Office. Un altro popolare tool è stato sfruttato per distribuire malware prima di Natale.

Clipper nascosto in KMSAuto

KMS (Key Management Service) è un sistema offerto da Microsoft per attivare copie legittime di Windows e Office attraverso una gestione centralizzata. Viene usato dalle aziende per evitare l’inserimento manuale delle chiavi in centinaia di computer. KMSAuto simula il funzionamento del sistema consentendo l’attivazione delle copie pirata.

La polizia coreana ha avviato un’indagine ad agosto 2020, in seguito alla denuncia di un cittadino che aveva inviato 1 Bitcoin all’indirizzo del wallet sbagliato. Analizzando il suo computer è stato scoperto un clipper, ovvero un malware che intercetta il contenuto degli appunti (clipboard) di Windows. L’indirizzo del wallet della vittima è stato sostituito dal clipper con l’indirizzo del wallet del cybercriminale.

Il malware era stato nascosto nel tool KMSAuto utilizzato dall’utente per attivare una copia pirata di Windows. Tracciando le transazioni attraverso vari exchange, la polizia ha scoperto altre 7 vittime e soprattutto identificato il cybercriminale con la collaborazione degli exchange e le autorità di Lituania e Georgia.

Il soggetto ha distribuito oltre 2,8 milioni di copie del malware e rubato asset digitali per oltre 1,7 miliardi di won attraverso 8.400 transazioni dai wallet di 3.100 utenti. Gli 8 cittadini coreani hanno perso circa 16 milioni di won. Insieme alle autorità lituane è stata effettuata un perquisizione nella residenza del cybercriminale, sequestrando 22 dispositivi elettronici.

Esaminando i dispositivi sono state trovate le prove della sua colpevolezza, quindi è stato emesso un mandato di cattura internazionale. Il cittadino lituano è stato arrestato in Georgia ad aprile 2025. Ieri è stato estradato in Corea del Sud, dove si trova in custodia cautelare in attesa del processo.

Fonte: Bleeping Computer

Pubblicato il 30 dic 2025

Link copiato negli appunti

Ti potrebbe interessare

TotalAV: sicurezza completa a costo ridotto con l'offerta scontata dell'80%

TotalAV: sicurezza completa a costo ridotto con l'offerta scontata dell'80%
Trust Wallet: quasi 2.600 wallet interessati dal furto

Trust Wallet: quasi 2.600 wallet interessati dal furto
Solo 1,11 euro al mese per questa VPN senza limiti

Solo 1,11 euro al mese per questa VPN senza limiti
Data breach WIRED: online i dati degli abbonati

Data breach WIRED: online i dati degli abbonati
TotalAV: sicurezza completa a costo ridotto con l'offerta scontata dell'80%

TotalAV: sicurezza completa a costo ridotto con l'offerta scontata dell'80%
Trust Wallet: quasi 2.600 wallet interessati dal furto

Trust Wallet: quasi 2.600 wallet interessati dal furto
Solo 1,11 euro al mese per questa VPN senza limiti

Solo 1,11 euro al mese per questa VPN senza limiti
Data breach WIRED: online i dati degli abbonati

Data breach WIRED: online i dati degli abbonati
Luca Colantuoni
Pubblicato il
30 dic 2025
Link copiato negli appunti