Фейковый тайпсквоттинг-домен распространяет вредоносное ПО PowerShell

Тайпсквоттинг-домен, выдающий себя за инструмент Microsoft Activation Scripts (MAS), используется для распространения вредоносных скриптов PowerShell. Они заражают системы Windows вредоносом Cosmali Loader.

Несколько пользователей MAS сообщили о появлении всплывающих предупреждений о заражении Cosmali Loader: «Вы были заражены вредоносной программой под названием “cosmali loader”, потому что ошибочно написали “get.activated.win” как “get.activate[.]win” при активации Windows в PowerShell. Панель вредоносной программы небезопасна, и любой, кто её просматривает, имеет доступ к вашему компьютеру. Переустановите Windows и не повторяйте эту ошибку в следующий раз».

В качестве доказательства пользователи приводят данные диспетчера задач, который демонстрирует странные процессы PowerShell.

Согласно сообщениям, злоумышленники создали домен, похожий на «get.activate[.]win», который очень напоминает легитимный, указанный в официальных инструкциях по активации MAS.

Исследователь безопасности RussianPanda обнаружил, что уведомления связаны с вредоносным ПО с открытым исходным кодом Cosmali Loader и могут быть связаны с аналогичными всплывающими уведомлениями, обнаруженными аналитиком вредоносного ПО GDATA Карстеном Ханом.

Cosmali Loader распространял утилиты для криптомайнинга и троян удаленного доступа XWorm (RAT).

Хотя неясно, кто именно рассылал предупреждающие сообщения пользователям, вероятно, что это были белые хакеры, которые получили доступ к панели управления вредоносным ПО.

MAS — это набор скриптов PowerShell с открытым исходным кодом, автоматизирующих активацию Microsoft Windows и Microsoft Office с использованием активации HWID, эмуляции KMS и различных обходных путей (Ohook, TSforge).

Проект размещён на GitHub и поддерживается