Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Лажен домен за активација на Windows (MAS) користен за ширење PowerShell малициозен софтвер

Објавено: 25.12.2025

Домен со погрешно напишано име, кој се претставувал како алатката Microsoft Activation Scripts (MAS), бил користен за дистрибуција на малициозни PowerShell скрипти што ги инфицираат Windows системите со „Cosmali Loader“.

BleepingComputer откри дека повеќе корисници на MAS вчера почнале да пријавуваат на Reddit [1, 2] дека добиле pop-up предупредувања на нивните системи за инфекција со Cosmali Loader.

Предупредувачка порака

„Вашиот компјутер е инфициран со малициозен софтвер наречен ‘Cosmali Loader’ затоа што погрешно сте го напишале ‘get.activated.win’ како ‘get.activate[.]win’ при активација на Windows преку PowerShell.
Контролниот панел на малициозниот софтвер не е безбеден и секој што го гледа има пристап до вашиот компјутер.

Реинсталирајте го Windows и не правете ја истата грешка следниот пат.

Како доказ дека вашиот компјутер е инфициран, проверете во Task Manager и побарајте чудни PowerShell процеси.“

Врз основа на извештаите, напаѓачите поставиле домен што изгледа слично, „get.activate[.]win“, кој многу наликува на легитимниот домен наведен во официјалните инструкции за активација на MAS, „get.activated.win“.

Со оглед на тоа што разликата меѓу двата домени е само еден знак („d“), напаѓачите се обложиле дека корисниците ќе го згрешат доменот при внесување.

Безбедносниот истражувач RussianPanda откри дека известувањата се поврзани со open-source малициозниот софтвер Cosmali Loader и дека би можеле да бидат поврзани со слични pop-up известувања забележани од аналитичарот за малициозен софтвер во GDATA, Карстен Хан (Karsten Hahn).

RussianPanda за BleepingComputer изјави дека Cosmali Loader испорачувал алатки за крипто-рударење и XWorm тројанец за далечински пристап (RAT).

Иако не е јасно кој ги испратил предупредувачките пораки до корисниците, веројатно е дека добронамерен истражувач добил пристап до контролниот панел на малициозниот софтвер и го искористил за да ги информира корисниците за компромитацијата.

MAS е open-source збирка на PowerShell скрипти што ја автоматизира активацијата на Microsoft Windows и Microsoft Office преку HWID активација, KMS емулација и различни заобиколувања (Ohook, TSforge).

Проектот е хостиран на GitHub и се одржува јавно. Сепак, Microsoft го смета за алатка за пиратерија, бидејќи активира производи без купена лиценца користејќи неовластени методи што го заобиколуваат нивниот лиценцен систем.

Одржувачите на проектот исто така ги предупредија корисниците за кампањата и ги повикаа внимателно да ги проверуваат командите што ги внесуваат пред да ги извршат.

На корисниците им се препорачува да избегнуваат извршување на далечински код доколку не разбираат целосно што прави, секогаш да тестираат во sandbox околина и да избегнуваат повторно внесување команди, со цел да се намали ризикот од преземање опасни payload-и од домени со погрешно напишани имиња (typosquatted domains).

Неофицијалните активатори за Windows повеќепати биле користени за испорака на малициозен софтвер, па затоа корисниците мора да бидат свесни за ризиците и да покажат зголемена претпазливост при користење на вакви алатки.

Извори:

  • Bleeping Computer – Fake MAS Windows activation domain used to spread PowerShell malware Bleeping Computer