SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

30 dic 2025

Segu-Info » , » Campaña de malware con KMSAuto modificado y con 2,8 millones de descargas

Campaña de malware con KMSAuto modificado y con 2,8 millones de descargas

30 dic 2025, 9:56:00 a.m.   Comenta primero!
  ,  

Un ciudadano lituano fue arrestado por su presunta participación en la infección de 2,8 millones de sistemas con malware de robo de portapapeles camuflado en la herramienta KMSAuto para la activación ilegal de Windows y Office.

El hombre de 29 años fue extraditado de Georgia a Corea del Sur tras una solicitud relacionada bajo la coordinación de Interpol.

Según la Agencia Nacional de Policía de Corea, el sospechoso utilizó KMSAuto para engañar a las víctimas y hacer que descargaran un ejecutable malicioso que escaneaba el portapapeles en busca de direcciones de criptomonedas y las reemplazaba por las controladas por el atacante. Este tipo de amenaza se denomina malware clipper.

Según la Agencia Nacional de Policía de Corea, el sospechoso añadió malware a la herramienta KMSAuto, que verificaba el contenido del portapapeles en busca de direcciones de criptomonedas y cambiaba la dirección de destino a una controlada por el atacante. 

"De abril de 2020 a enero de 2023, el delincuente distribuyó 2,8 millones de copias de malware en todo el mundo camuflado en un programa ilegal de activación de licencias de Windows (KMSAuto)", afirma la policía. "Mediante este malware, robó activos virtuales por un valor aproximado de 1.700 millones de KRW (1,2 millones de dólares) en 8.400 transacciones de usuarios de 3.100 direcciones de activos virtuales".

La policía inició la investigación en agosto de 2020, tras un informe sobre cryptojacking, en el que el sistema de la víctima fue infectado por malware clipper, que intercambiaba la dirección de la billetera del destinatario para dirigir los pagos al atacante.

La investigación descubrió una infección de malware a través de la mencionada herramienta KMSAuto. modificada. Tras rastrear las cantidades robadas e identificar al autor, en diciembre de 2024 se llevó a cabo un allanamiento en Lituania, donde se confiscaron 22 artículos, entre ellos ordenadores portátiles y teléfonos móviles. El análisis de los objetos incautados reveló pruebas incriminatorias, lo que finalmente condujo al arresto en abril de 2025, mientras viajaba de Lituania a Georgia.

El uso de software ilegal que infringe los derechos de autor es arriesgado, ya que estas herramientas pueden introducir malware en el sistema. Este tipo de utilidad se ha utilizado con frecuencia para distribuir malware. Recientemente, ciberdelincuentes suplantaron la herramienta Microsoft Activation Scripts (MAS) para distribuir scripts de PowerShell que distribuyeron el malware Cosmali Loader.

Según los informes, los atacantes habían creado un dominio similar, "get.activate[.]win", que se parece mucho al legítimo que aparece en las instrucciones oficiales de activación de MAS, get.activated.win.

Se recomienda evitar el uso de activadores de productos de software no oficiales y, en general, cualquier ejecutable de Windows que no esté firmado digitalmente y cuya fuente o integridad no pueda validarse.

Fuente: BC



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!