Любители бесплатного Windows потеряли $1,2 млн: создателя вируса в KMSAuto экстрадировали в Южную Корею

В Южной Корее завершили пятилетнее расследование по заражённому пиратскому софту и добились экстрадиции подозреваемого в Сеул. Экстрадировали 29 летнего гражданина Литвы. Его считают автором схемы, где криптовалюту вытаскивали не взломом биржи и не хитрым эксплойтом, а через чужие руки и чужую невнимательность.

Приманка была классическая. Модифицированный KMSAuto, тот самый активатор для нелегальной Windows и Office, который качают миллионы людей по всему миру. Снаружи всё как обычно. Запускается, делает вид, что помогает, и не вызывает подозрений. А внутри сидит клиппер, вредонос, который караулит буфер обмена.

Фокус в том, что жертва сама отправляет деньги. Человек копирует адрес криптокошелька, чтобы перевести средства. В этот момент клиппер тихо подменяет адрес на свой. Визуально всё почти одинаковое, особенно если смотреть на строку одним глазом. Итог предсказуемый. Транзакция уходит злоумышленнику, а пользователь ещё какое-то время уверен, что просто перевод завис или не дошёл.

По версии следствия, с апреля 2020 по январь 2023 заражённый активатор скачали 2,8 миллиона раз. Пострадавшие были в 234 странах. Общая сумма перехваченных переводов оценивается в 1,7 миллиарда вон, это примерно 1,2 млн долларов.

Дело началось еще в августе 2020 года, после заявления жителя Кореи о пропаже криптовалюты биткоин на сумму 12 млн вон. Дальше началось расследование. В декабре 2024 полиция Литвы провела обыски у подозреваемого, изъяла технику и криптокошельки. В апреле 2025 его задержали в Грузии при попытке пересечения границы. В декабре 2025 его официально экстрадировали в Южную Корею.

Отдельно отмечается, что это первый случай, когда иностранного гражданина экстрадировали в Южную Корею за киберпреступление, совершённое за границей. Теперь создателю троянского активатора грозит тюремный срок.