Получается, хакеры вновь наказали пиратов?
Исследователи выяснили, что хакеры зарегистрировали поддельный домен, маскирующийся под официальный сайт Microsoft Activation Scripts (MAS).
Далее его использовали для распространения вредоносных PowerShell-скриптов. В результате на компьютеры с Windows устанавливался троян Cosmali Loader.
Инцидент стал заметен после того, как пользователи MAS начали массово жаловаться на Reddit — на их компьютерах появлялись всплывающие уведомления о заражении.
Одна буква и система скомпрометирована
Атакующие зарегистрировали домен get.activate[.]win, который визуально почти не отличается от легитимного get.activated.win. Разница — всего в одной букве «d».
Этого оказалось достаточно, чтобы часть пользователей вручную ввела неверный адрес и запустила вредоносный код.
Half-Life 2 запустили на 8 МБ видеопамяти. Порой даже на 60 fpstproger.ru
После выполнения команды, в системе загружался Cosmali Loader — открытый вредоносный загрузчик, который затем устанавливал дополнительные компоненты.
По данным исследователей, среди полезной нагрузки были криптомайнеры и XWorm RAT — троян удаленного доступа, позволяющий полностью контролировать зараженный компьютер.
Странные предупреждения и «доброжелательный взлом»
Интересная деталь инцидента — сами предупреждения о заражении. Они выглядели как пугающие pop-up сообщения с советом переустановить Windows и проверить диспетчер задач на подозрительные PowerShell-процессы.
По мнению специалистов, эти уведомления мог отправить не сам злоумышленник, а исследователь, получивший доступ к панели управления вредоносным ПО.
Что такое MAS и почему это риск
Microsoft Activation Scripts — это open-source набор PowerShell-скриптов, размещенный на GitHub. Он используется для активации Windows и Office с помощью HWID, эмуляции KMS и других обходных методов.
Microsoft считает MAS пиратским инструментом, т.к он позволяет активировать продукты без покупки лицензии.