Die Verlockung kostenloser Software birgt oft unsichtbare Gefahren, die weit über eine simple Urheberrechtsverletzung hinausgehen und in einem Fall jüngster Vergangenheit zu einem Millionenschaden für unzählige Nutzer weltweit führten. Ein 29-jähriger Mann aus Georgien nutzte ein weitverbreitetes, aber illegales Aktivierungswerkzeug namens KMSAuto, um eine perfide Schadsoftware zu verteilen, die gezielt Transaktionen von Kryptowährungen manipulierte. Zwischen 2020 und 2023 infizierte er auf diese Weise rund 2,8 Millionen Computer und erbeutete dabei digitale Vermögenswerte im Wert von etwa einer Million Euro. Dieser Vorfall unterstreicht eindrücklich, wie Cyberkriminelle die Nachfrage nach gecrackter Software ausnutzen, um im Verborgenen zu agieren und Nutzer um ihre Ersparnisse zu bringen. Das als nützliches Hilfsmittel getarnte Programm installierte im Hintergrund eine sogenannte „Clipper“-Malware, die unbemerkt die Zwischenablage der Opfer überwachte und manipulierte, was den Diebstahl für die Betroffenen nahezu unmöglich nachvollziehbar machte.
Die Taktik der Tarnung und der stille Diebstahl
Die Vorgehensweise des Täters war ebenso raffiniert wie heimtückisch und basierte auf einem einfachen, aber effektiven Prinzip der Täuschung. Das gefälschte Tool KMSAuto versprach eine kostenlose und unkomplizierte Aktivierung von hochpreisigen Microsoft-Produkten wie Windows 11 oder der Office-Suite, ein Angebot, das für viele Nutzer äußerst attraktiv ist. Während der Anwender glaubte, lediglich Lizenzgebühren zu umgehen, installierte das Programm im Hintergrund unbemerkt eine bösartige Software. Diese „Clipper“-Malware wurde speziell dafür entwickelt, die Zwischenablage des infizierten Computers kontinuierlich zu überwachen. Ihre einzige Aufgabe bestand darin, Zeichenketten zu erkennen, die dem Format einer Krypto-Wallet-Adresse entsprechen. Sobald ein Nutzer eine solche Adresse kopierte, um eine Überweisung zu tätigen, ersetzte die Malware diese in Sekundenbruchteilen durch eine Adresse, die vom Täter kontrolliert wurde. Da Wallet-Adressen lang und komplex sind, fällt ein solcher Austausch visuell kaum auf. Durch diese Methode wurden über einen Zeitraum von drei Jahren etwa 8.400 Transaktionen erfolgreich umgeleitet, was dem Kriminellen ein Vermögen einbrachte.
Internationale Ermittlungen und die rechtliche Zwickmühle der Opfer
Die Aufklärung dieses globalen Betrugsfalls begann mit der Meldung eines Opfers in Südkorea und entwickelte sich schnell zu einer komplexen internationalen Operation. Die südkoreanische Polizei übernahm die Führung und arbeitete eng mit Interpol zusammen, um die Spuren des Täters über die Landesgrenzen hinaus zu verfolgen. Die Ermittlungen führten die Behörden schließlich zu dem 29-jährigen Georgier. Im Dezember 2024 fand eine entscheidende Razzia in Litauen statt, bei der wichtige Beweismittel sichergestellt werden konnten, die den Verdächtigen eindeutig mit der Tat in Verbindung brachten. Die Festnahme des Mannes erfolgte schließlich im April 2025 in seiner Heimat Georgien. Nach einem mehrmonatigen Auslieferungsverfahren wurde er im Dezember 2025 an die südkoreanischen Behörden überstellt, um sich dort vor Gericht zu verantworten. Für die Opfer offenbarte sich jedoch eine bittere Realität: Die Rückforderung der gestohlenen Gelder gestaltete sich als äußerst schwierig, da sie sich durch die Nutzung illegaler Software selbst strafbar gemacht hatten. Um zivilrechtliche Ansprüche geltend machen zu können, hätten die Geschädigten ihre eigene Unschuld nachweisen müssen, was ihre rechtliche Position von vornherein erheblich schwächte.
