北京
攻擊者利用仿冒“微軟激活腳本(MAS)”的拼寫錯誤域名,分發惡意PowerShell腳本,使Windows系統感染Cosmali Loader惡意軟件。
安全研究員發現,有多名MAS工具用戶在Reddit平臺反饋,其設備彈出Cosmali Loader感染預警提示。
根據用戶報告,攻擊者搭建了仿冒域名“get.activate[.]win”,該域名與MAS官方激活指南中列出的合法域名“get.activated.win”高度相似。兩個域名僅相差一個字符(合法域名多一個“d”),攻擊者正是利用用戶可能出現的輸入失誤實施攻擊。
警告信息
安全研究員證實,這些預警提示與開源惡意軟件Cosmali Loader相關,且可能與GDATA惡意軟件分析師Karsten Hahn此前發現的類似彈窗預警同源。
Cosmali Loader會投放加密挖礦工具與XWorm遠程控制木馬。目前尚不清楚是誰向用戶推送了預警信息,但大概率是研究員獲取了該惡意軟件的控制面板權限后,通過彈窗告知用戶設備已遭入侵。
微軟激活腳本(MAS)是一套開源PowerShell腳本集合,通過硬件ID(HWID)激活、KMS模擬及多種繞過技術(如Ohook、TSforge),實現微軟Windows系統與Office辦公軟件的自動化激活。
該項目托管于GitHub平臺,由開發者公開維護,但微軟將其認定為盜版工具——因其通過未授權方式規避許可驗證系統,無需購買正版授權即可激活產品。
MAS項目維護者已針對此次攻擊事件發出安全預警,提醒用戶在執行命令前仔細核對輸入內容。同時建議用戶若未完全理解遠程代碼的功能,切勿隨意執行;盡量在沙箱環境中測試未知腳本;避免手動重復輸入命令,以降低因訪問拼寫錯誤域名而加載危險載荷的風險。
需注意的是,非官方Windows激活工具已多次被用于傳播惡意軟件,用戶使用此類工具時需充分認識潛在風險,保持高度警惕。
參考及來源:https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
