Специалисты по кибербезопасности выявили новую кампанию распространения вредоносного ПО, нацеленную на пользователей Windows. Злоумышленники использовали поддельный домен, маскирующийся под Microsoft Activation Scripts (MAS) -популярный open-source инструмент для активации Windows и Office, чтобы заражать системы через PowerShell-скрипты.
Атака была построена на typosquatting подмене домена, отличающегося всего одним символом.
Вместо официального адреса get.activated.win использовался фейковый get.activate[.]win. Разница всего одна буква, на которую и делалась ставка, пользователи вручную вводили команду в PowerShell и по ошибке загружали вредоносный скрипт.
Что происходило после заражения
После выполнения команды система заражалась Cosmali Loader загрузчиком вредоносного ПО. Пострадавшие пользователи начали массово сообщать о всплывающих предупреждениях прямо в системе, где говорилось о компрометации ПК.
Cosmali Loader, по данным исследователей, использовался для:
- установки криптомайнеров
- загрузки XWorm RAT (троян удалённого доступа)
- получения полного контроля над системой жертвы
Дополнительно отмечается, что панель управления вредоносом была плохо защищена, из-за чего к ней могли получить доступ третьи лица.
Кто обнаружил проблему
Исследователь безопасности RussianPanda связал инцидент с открытым вредоносным проектом Cosmali Loader. Также указывается, что всплывающие предупреждения могли быть отправлены не злоумышленниками, а сторонним исследователем, получившим доступ к управляющей панели и попытавшимся уведомить заражённых пользователей.
Что такое MAS и почему это рискованно
Microsoft Activation Scripts (MAS) — это набор PowerShell-скриптов с открытым исходным кодом, размещённый на GitHub. Он используется для активации Windows и Office с помощью:
- HWID-активации
- эмуляции KMS
- обходов лицензирования (Ohook, TSforge и др.)
Хотя проект публичный и поддерживается сообществом, Microsoft считает его пиратским инструментом, так как он обходит официальную систему лицензирования.
Важно отметить: неофициальные активаторы Windows регулярно используются как канал распространения вредоносного ПО, и данный случай далеко не первый.
Эксперты советуют пользователям:
- не выполнять PowerShell-команды, если вы не понимаете, что они делают
- тестировать подобные скрипты в песочнице
- внимательно проверять домены и источники
- помнить о рисках использования нелегальных активаторов
Авторы MAS также предупредили сообщество об атаке и призвали проверять каждую команду перед выполнением.
Одна ошибка в символе домена привела к заражению множества систем. Инцидент в очередной раз показывает, что использование неофициальных инструментов для активации ПО несёт серьёзные риски безопасности, вплоть до полной компрометации компьютера.
