攻击者注册了一个与 Microsoft Activation Scripts(MAS)工具极其相似的域名,通过拼写错误诱导用户下载恶意 PowerShell 脚本,进而感染 Windows 系统,植入名为 Cosmali Loader 的加载器。
昨日,Reddit 上多名 MAS 用户发帖称,系统突然弹出警告窗口,提示已感染“Cosmali Loader”:
你因为把 get.activated.win 错打成 get.activate[.]win 而感染了 cosmali loader 恶意软件。
该恶意软件的面板未设权限,任何访问者都能控制你的电脑。
请重装系统,下次别再打错。
想验证是否中毒,打开任务管理器查看可疑 PowerShell 进程即可。
合法 MAS 官方地址为 get.activated.win,攻击者仅去掉一个字母 d,注册相似域名 get.activate[.]win,专等用户手滑输错。
安全研究员 RussianPanda 发现,这些弹窗与开源 Cosmali Loader 有关,其功能包括投递挖矿程序与远程控制木马 XWorm。
目前尚不清楚是谁向受害者推送了“好心警告”,推测有白帽潜入恶意软件控制面板,借其广播功能提醒中招用户。
MAS 是一套托管在 GitHub 的开源 PowerShell 脚本集合,可通过 HWID、KMS 模拟及 Ohook、TSforge 等方式激活 Windows 与 Office。微软将其视为盗版工具,项目方也已发公告提醒用户核对网址、谨慎输入命令。
安全建议
- 不执行看不懂的远程命令
- 先在沙箱测试
- 尽量复制粘贴,避免手打误入钓鱼域
- 非官方激活器历来常被用来带毒,务必三思
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容