Фальшивый сайт Microsoft Activation Scripts заразил Windows трояном

Исследователи выяснили, что хакеры зарегистрировали поддельный домен, маскирующийся под официальный сайт Microsoft Activation Scripts (MAS).

Далее его использовали для распространения вредоносных PowerShell-скриптов. В результате на компьютеры с Windows устанавливался троян Cosmali Loader.

Инцидент стал заметен после того, как пользователи MAS начали массово жаловаться на Reddit — на их компьютерах появлялись всплывающие уведомления о заражении.

Одна буква и система скомпрометирована

Атакующие зарегистрировали домен get.activate[.]win, который визуально почти не отличается от легитимного get.activated.win. Разница — всего в одной букве «d».

Этого оказалось достаточно, чтобы часть пользователей вручную ввела неверный адрес и запустила вредоносный код.

После выполнения команды, в системе загружался Cosmali Loader — открытый вредоносный загрузчик, который затем устанавливал дополнительные компоненты.

По данным исследователей, среди полезной нагрузки были криптомайнеры и XWorm RAT — троян удаленного доступа, позволяющий полностью контролировать зараженный компьютер.

Странные предупреждения и «доброжелательный взлом»

Интересная деталь инцидента — сами предупреждения о заражении. Они выглядели как пугающие pop-up сообщения с советом переустановить Windows и проверить диспетчер задач на подозрительные PowerShell-процессы.

По мнению специалистов, эти уведомления мог отправить не сам злоумышленник, а исследователь, получивший доступ к панели управления вредоносным ПО.

Что такое MAS и почему это риск

Microsoft Activation Scripts — это open-source набор PowerShell-скриптов, размещенный на GitHub. Он используется для активации Windows и Office с помощью HWID, эмуляции KMS и других обходных методов.

Microsoft считает MAS пиратским инструментом, т.к он позволяет активировать продукты без покупки лицензии.