- Злоумышленники создали домен-тайпсквоттинг, имитирующий официальный сайт активации Microsoft Activation Scripts (MAS), для распространения вредоносных скриптов PowerShell.
- Вредонос Cosmali Loader, распространяемый через этот домен, заражает Windows-системы и выводит фальшивые предупреждения о заражении.
- Исследователи безопасности советуют пользователям MAS быть внимательнее при вводе команд и не запускать сомнительный код для минимизации рисков заражения.
Специалисты по информационной безопасности выявили новый способ распространения вредоносного ПО, связанный с доменом-тайпсквоттингом, имитирующим адрес, используемый в рамках проекта Microsoft Activation Scripts (MAS). Этот проект представляет собой набор скриптов PowerShell с открытым исходным кодом, предназначенный для активации Windows и Office, но официально рассматриваемый Microsoft как инструмент пиратства.
Злоумышленники создали домен «get.activate[.]win», который очень похож на легитимный адрес «get.activated.win», используемый в MAS. Пользователи, ошибочно вводаившие неправильный URL, сталкивались с установкой вредоносного скрипта PowerShell, известного как Cosmali Loader. Этот вредонос загружает на заражённые компьютеры криптомайнеры и трояны удалённого доступа.
Жертвы сталкивались с необычными всплывающими окнами, предупреждающими об инфицировании «Cosmali Loader» и советующими переустановить Windows. Аналитики отмечают, что данные о вредоносных процессах подтверждаются сведениями из диспетчера задач, в которых фиксируются подозрительные процессы PowerShell.
Исследователь RussianPanda и эксперт GDATA Карстен Хан выявили связь между вредоносными уведомлениями и Cosmali Loader. При этом предположительно авторы предупреждений – «белые хакеры», которые получили доступ к панели управления вредоносным ПО и пытаются информировать пользователей.
Команда разработчиков MAS призывает соблюдать осторожность при вводе команд в PowerShell: рекомендуется внимательно проверять команды, не запускать удалённый и непонятный код, тестировать скрипты в безопасной среде и избегать повторного использования команд. Данные меры направлены на предотвращение заражения через домены, созданные с опечатками.
Стоит напомнить, что в феврале текущего года вышла версия MAS 3.0 с усовершенствованным алгоритмом активации, а Microsoft постепенно ужесточает меры против пиратских активаторов, запрещая даже ИИ-помощникам генерировать соответствующие скрипты и удаляя из Windows функционал для бесплатной активации через активаторы.
Эксперты рекомендуют пользователям MAS и администраторы систем с повышенным вниманием относиться к источникам запускаемых скриптов и проверять доменные имена, чтобы избежать заражения современными угрозами, распространяемыми под видом инструментов для активации ПО.
