文章总结： 立陶宛男子因传播伪装成KMSAuto激活工具的剪贴板劫持恶意软件被捕，该软件感染约280万系统。它通过监控并替换剪贴板中的加密货币地址窃取资金，造成约17亿韩元损失。嫌疑人已被引渡至韩国受审。 综合评分： 65 文章分类： 恶意软件,威胁情报,安全大事件

利用伪装成Windows激活工具KMSAuto的恶意软件盗窃加密货币

会杀毒的单反狗

军哥网络安全读报

2025年12月31日 09:00 湖北

导读

一名立陶宛男子（29 岁）因涉嫌传播伪装成 KMSAuto （一种常用的Windows盗版激活工具）的剪贴板窃取恶意软件而被捕，该恶意软件感染了约 280 万个 Windows 系统。

该男子在国际刑警组织的协调下从格鲁吉亚被引渡到韩国。当局称，他利用KMSAuto盗版工具植入木马程序，传播剪贴板恶意软件。该软件会监控受害者剪贴板上的加密货币地址，并将其替换为攻击者控制的钱包地址，从而在用户不知情的情况下重定向加密货币交易。

据韩国国家警察厅称，嫌疑人使用 KMSAuto 引诱受害者下载恶意可执行文件，该文件会扫描剪贴板中的加密货币地址，并将其替换为攻击者控制的地址——这种恶意软件被称为“剪贴板恶意软件”。

从2020年到2023年，伪装成非法Windows激活工具KMSAuto的恶意软件在全球范围内被下载了约280万次。这种名为“clipper”的恶意软件会在交易过程中替换加密货币钱包地址，导致3100个钱包共计8400笔转账被盗，总金额约17亿韩元。其中8名韩国受害者损失了1600万韩元，感染源被追溯到盗版激活工具。

关键技巧在于所谓的“内存入侵”。在受感染的计算机上进行加密货币交易时，恶意软件会自动将用户输入的钱包地址替换为攻击者控制的地址。结果，用户看似将资金发送到了正确的地址，但实际上这笔转账却转到了黑客手中，而且这种错误往往在被核实之前都不会被发现。

据韩国执法部门称，此次攻击影响了超过3100个钱包地址，超过8400笔加密货币交易被拦截。损失总额估计约为17亿韩元（约合118万美元）。韩国居民也是受害者之一：8人共损失1600万韩元（约合1.1万美元）。

调查始于2020年8月，当时一名用户报告丢失了一枚比特币，当时价值约1200万韩元（约合8300美元）：这笔转账突然被转移到了另一个地址。进一步分析使警方追踪到被盗资产流经六个国家，其中包括韩国国内的加密货币交易所，并确认了另外七名韩国受害者。

嫌疑人身份确认后，韩国警方于2024年12月与立陶宛司法部、检察院及警方展开联合行动。在搜查嫌疑人在立陶宛的住所时，警方查获了包括手机、笔记本电脑在内的22件物品。

韩国向国际刑警组织申请红色通缉令，要求对其提起诉讼。同年4月，格鲁吉亚警方在嫌疑人入境时将其逮捕。随后，韩国向国际刑警组织提出引渡请求，经过五年零四个月的调查，嫌疑人最终被引渡回韩国。

新闻链接：

Lithuanian suspect arrested over KMSAuto malware that infected 2.8M systems

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《利用伪装成Windows激活工具KMSAuto的恶意软件盗窃加密货币》