Kích hoạt Windows “lậu”, 2.8 triệu máy tính bị nhiễm mã độc

Ngày 05/02/2026

KMSAuto – một công cụ nổi tiếng được dùng để bẻ khoá bản quyền cho hệ điều hành Windows hay bộ phần mềm văn phòng Microsoft Office, vừa qua đã trở thành tâm điểm của cộng đồng mạng khi 2.8 triệu máy tính trên toàn thế giới nhiễm mã độc nguy hiểm do sử dụng công cụ này.

Thông tin chi tiết

Mới đây, một công dân 29 tuổi quốc tịch Lithuania (Litva) đã bị bắt và dẫn độ từ Georgia về Hàn Quốc. Theo thông báo được công bố, người này đứng sau chiến dịch phát tán mã độc clipper malware, thành công lây nhiễm cho hơn 2.8 triệu máy tính trên toàn thế giới trong khoảng thời gian từ tháng 4/2020 cho tới tháng 1/2023.

Clipper malware là một loại mã độc chuyên tấn công và đánh cắp thông tin ví tiền điện tử. Mã độc này chạy ngầm và ghi lại toàn bộ các hoạt động liên quan tới giao dịch crypto của nạn nhân. Mỗi khi nạn nhân sao chép địa chỉ ví để thực hiện giao dịch, mã độc âm thầm theo dõi clipboard và tự động thay thế địa chỉ ví đích bằng ví do hacker kiểm soát. Phía nạn nhân vẫn ghi nhận giao dịch thành công như bình thường, tuy nhiên toàn bộ tài sản đều bị đánh cắp và chuyển tới ví của tin tặc.

KMS (Key Management Service) là một dịch vụ hợp lệ của Microsoft dành cho các doanh nghiệp lớn. Thay vì nhập mã cho từng máy tính, các doanh nghiệp thiết lập một máy chủ KMS nội bộ để tự động kích hoạt bản quyền cho tất cả máy tính trong mạng lưới. Tuy nhiên, công nghệ này nhanh chóng bị lợi dụng để tạo ra KMSAuto. Bằng cách giả lập một máy chủ KMS riêng chạy ngay trên chính máy tính người dùng, KMSAuto đánh lừa Windows và Microsoft Office rằng chúng đã được kết nối với máy chủ bản quyền của doanh nghiệp, từ đó mở khóa đầy đủ tính năng mà không cần mua key thật.

Chính vì sự “miễn phí” dễ dàng này, kết hợp với tâm lý không muốn bỏ tiền để mua bản quyền phần mềm từ người dùng, tin tặc người Litva thành công phát tán Clipper malware tới hơn 2.8 triệu nạn nhân trên toàn thế giới bằng cách chèn mã độc này trong công cụ KMSAuto do chính hắn tạo ra. Ước tính đã có hơn 8.400 giao dịch điện tử đã bị chiếm đoạt với tổng giá trị lên tới 1.2 triệu USD (khoảng 31.5 tỷ VNĐ)

Đáng chú ý, vụ việc phát tán mã độc nguy hiểm thông qua các công cụ bẻ khoá Windows đã tồn tại từ lâu và đang trở thành một xu hướng mới cho tin tặc. Trước đó vào cuối năm 2025, một công cụ bẻ khoá Windows phổ biến không kém KMSAuto là Microsoft Activation Scripts (MAS) cũng đã bị giả mạo để lan truyền mã PowerShell độc hại, cho phép triển khai trái phép mã độc XWorm để đào tiền ảo và đánh cắp thông tin trên máy nạn nhân.

Khuyến nghị & Khắc phục

Không dừng lại trong phạm vi các công cụ bẻ khoá bản quyền Windows hay Microsoft Office, việc sử dụng phần mềm lậu vi phạm bản quyền là cực kỳ rủi ro bởi các công cụ này thường đính kèm các loại virus, trojan hay mã độc nguy hiểm.

Hạn chế, không sử dụng các phần mềm lậu: Cách tốt nhất để bảo vệ bản thân khỏi các loại mã độc chạy ngầm nguy hiểm này đối với người dùng là không sử dụng các phần mềm lậu, phần mềm crack. Chỉ tải và sử dụng những phần mềm hợp lệ từ trang chủ của nhà phát hành.
Sử dụng biện pháp bảo mật: Không tự ý vô hiệu hoá tường lửa hoặc Windows Defender của máy tính. Ngoài ra có thể cài đặt thêm các phần mềm diệt virus uy tín, các giải pháp bảo mật nâng cao như EDR, XDR kết hợp với giám sát 24/7 cho các hệ thống máy tính quan trọng để nâng cao khả năng ngăn chặn các sự cố liên quan tới mất an toàn thông tin có thể xảy ra.
Nâng cao nhận thức cá nhân: Người dùng và quản trị viên cần liên tục cập nhật, trau dồi kiến thức liên quan tới an toàn thông tin để hiểu rõ các nguy cơ trên không gian mạng. Trường hợp bắt buộc phải sử dụng các phần mềm lậu, phần mềm crack, khuyến nghị nên sử dụng chúng trong máy ảo hoặc sandbox để đảm bảo an toàn tối đa.