Microsoft Activation Scripts(MAS)ツールになりすましたタイプスクワッティングドメインが、Windowsシステムを「Cosmali Loader」に感染させる悪意のあるPowerShellスクリプトの配布に使用されていました。
BleepingComputerは、複数のMASユーザーが昨日、Reddit上で[1, 2]、Cosmali Loader感染に関するポップアップ警告をシステム上で受け取ったと報告し始めたことを確認しました。
PowerShellでWindowsをアクティベートする際に「get.activated.win」を「get.activate[.]win」と打ち間違えたため、「cosmali loader」と呼ばれるマルウェアに感染しました。
このマルウェアのパネルは安全ではなく、閲覧している誰もがあなたのコンピューターにアクセスできます。
Windowsを再インストールし、次回は同じ間違いをしないでください。
コンピューターが感染している証拠として、タスク マネージャーを確認し、不審なPowerShellプロセスを探してください。
報告によると、攻撃者は正規のものに酷似したドメイン「get.activate[.]win」を用意しており、これは 公式のMASアクティベーション手順に記載されている正規ドメイン「get.activated.win」に非常によく似ています。
両者の違いは1文字(「d」)だけであるため、攻撃者はユーザーがドメインを打ち間違えることに賭けたのです。
セキュリティ研究者RussianPandaは、これらの通知がオープンソースのCosmali Loaderマルウェアに関連していることを発見し、GDATAのマルウェアアナリストであるKarsten Hahnが確認した同様の ポップアップ通知 とも関連している可能性があるとしています。
RussianPandaはBleepingComputerに対し、Cosmali Loaderが暗号資産マイニング用ユーティリティと、XWormリモートアクセス型トロイの木馬(RAT)を配布していたと述べました。
ユーザーに警告メッセージを送った人物が誰なのかは不明ですが、善意の研究者がマルウェアのコントロールパネルにアクセスを得て、侵害をユーザーに知らせるためにそれを利用した可能性が高いとみられます。
MASは、HWIDアクティベーション、KMSエミュレーション、各種バイパス(Ohook、TSforge)を用いてMicrosoft WindowsおよびMicrosoft Officeのアクティベーションを自動化するPowerShellスクリプトのオープンソース集です。
このプロジェクトはGitHubでホストされ、公開の形でメンテナンスされています。しかしMicrosoftは、ライセンスシステムを回避する不正な方法で購入済みライセンスなしに製品をアクティベートする海賊版ツールと見なしています。
プロジェクトのメンテナーもこのキャンペーンについてユーザーに警告し、実行前に入力するコマンドを確認するよう促しました。
.png)
ユーザーには、内容を十分に理解していない場合はリモートコードを実行しないこと、常にサンドボックスでテストすること、そしてタイプスクワッティングドメインから危険なペイロードを取得してしまうリスクを最小化するためにコマンドの打ち直しを避けることが推奨されます。
非公式のWindowsアクティベーターは、マルウェア配布に繰り返し悪用されてきたため、ユーザーはリスクを認識し、この種のツールを使用する際には注意を払う必要があります。
