Пользователи сети выявили поддельный домен, который выдавал себя за официальный ресурс MAS (Microsoft Activation Scripts) — инструмента проекта Massgrave, предназначенного для активации продуктов Microsoft.
Злоумышленники использовали этот домен для распространения вредоносных PowerShell-скриптов. В результате на компьютеры с Windows устанавливался загрузчик вредоносного ПО под названием Cosmali Loader.
Как сообщает издание Bleeping Computer, на текущей неделе участники Reddit начали делиться сообщениями о необычных всплывающих окнах, появлявшихся в системе. Уведомления утверждали, что компьютер заражён Cosmali Loader, а причиной заражения якобы стала ошибка в адресе при вводе команды для активации Windows.
В одном из случаев пользователю сообщалось, что он ввёл домен get.activate[.]win вместо корректного get.activated.win, из-за чего система была скомпрометирована. В тексте предупреждения утверждалось, что панель управления вредоносного ПО небезопасна, а любой, кто получает к ней доступ, может контролировать заражённый компьютер. Пользователю настоятельно рекомендовали переустановить Windows и проверить «Диспетчер задач» на наличие подозрительных процессов PowerShell.
Исследователь по информационной безопасности под псевдонимом RussianPanda выяснил, что эти сообщения связаны с опенсорсным загрузчиком Cosmali Loader. Ранее на данный вредонос уже обращал внимание аналитик компании GDATA Карстен Хан, который также упоминал о схожих всплывающих уведомлениях.
Согласно данным RussianPanda, Cosmali Loader использовался для доставки дополнительных угроз, включая криптомайнеры и троян удалённого доступа XWorm.
При этом до конца не ясно, кто именно отправлял предупреждения заражённым пользователям. Существует версия, что это мог быть независимый исследователь, получивший доступ к C&C-панели вредоносного ПО и решивший таким образом уведомить жертв о компрометации их систем.
MAS представляет собой набор опенсорсных PowerShell-скриптов, предназначенных для автоматической активации Windows и Office. Инструмент поддерживает несколько методов обхода лицензирования, включая HWID-активацию, эмуляцию KMS, а также технологии Ohook и TSforge. Проект развивается сообществом Massgrave и размещён на GitHub.
Компания Microsoft рассматривает MAS как пиратский инструмент, поскольку он активирует программные продукты без лицензии. Несмотря на то что платформа GitHub не удаляет подобные проекты, в последнее время Microsoft усилила меры против KMS-активации Windows.
Команда Massgrave уже предупредила пользователей о вредоносном домене get.activate[.]win и призвала внимательно проверять вводимые команды перед их выполнением, чтобы избежать заражения.
Источник:
Фальшивый домен для активации Windows заражает пользователей малварью Cosmali Loader
Злоумышленники использовали этот домен для распространения вредоносных PowerShell-скриптов. В результате на компьютеры с Windows устанавливался загрузчик вредоносного ПО под названием Cosmali Loader.
Как сообщает издание Bleeping Computer, на текущей неделе участники Reddit начали делиться сообщениями о необычных всплывающих окнах, появлявшихся в системе. Уведомления утверждали, что компьютер заражён Cosmali Loader, а причиной заражения якобы стала ошибка в адресе при вводе команды для активации Windows.
«Вы заражены вредоносной программой под названием cosmali loader, потому что ошибочно написали get.activated.win как get.activate[.]win при активации Windows с помощью PowerShell.
Панель управления малвари небезопасна, и любой, кто просматривает ее, имеет доступ к вашему компьютеру.
Переустановите Windows и не повторяйте эту ошибку в следующий раз.
Чтобы убедиться в заражении компьютера, проверьте Диспетчер задач и поищите подозрительные процессы PowerShell», — гласило уведомление в одном из случаев.
В одном из случаев пользователю сообщалось, что он ввёл домен get.activate[.]win вместо корректного get.activated.win, из-за чего система была скомпрометирована. В тексте предупреждения утверждалось, что панель управления вредоносного ПО небезопасна, а любой, кто получает к ней доступ, может контролировать заражённый компьютер. Пользователю настоятельно рекомендовали переустановить Windows и проверить «Диспетчер задач» на наличие подозрительных процессов PowerShell.
Исследователь по информационной безопасности под псевдонимом RussianPanda выяснил, что эти сообщения связаны с опенсорсным загрузчиком Cosmali Loader. Ранее на данный вредонос уже обращал внимание аналитик компании GDATA Карстен Хан, который также упоминал о схожих всплывающих уведомлениях.
Согласно данным RussianPanda, Cosmali Loader использовался для доставки дополнительных угроз, включая криптомайнеры и троян удалённого доступа XWorm.
При этом до конца не ясно, кто именно отправлял предупреждения заражённым пользователям. Существует версия, что это мог быть независимый исследователь, получивший доступ к C&C-панели вредоносного ПО и решивший таким образом уведомить жертв о компрометации их систем.
MAS представляет собой набор опенсорсных PowerShell-скриптов, предназначенных для автоматической активации Windows и Office. Инструмент поддерживает несколько методов обхода лицензирования, включая HWID-активацию, эмуляцию KMS, а также технологии Ohook и TSforge. Проект развивается сообществом Massgrave и размещён на GitHub.
Компания Microsoft рассматривает MAS как пиратский инструмент, поскольку он активирует программные продукты без лицензии. Несмотря на то что платформа GitHub не удаляет подобные проекты, в последнее время Microsoft усилила меры против KMS-активации Windows.
Команда Massgrave уже предупредила пользователей о вредоносном домене get.activate[.]win и призвала внимательно проверять вводимые команды перед их выполнением, чтобы избежать заражения.
Источник:
Фальшивый домен для активации Windows заражает пользователей малварью Cosmali Loader
Последнее редактирование модератором:
