Пользователи обнаружили фальшивый домен, маскирующийся под MAS-утилиту (Microsoft Activation Scripts) проекта Massgrave. Домен использовали для распространения вредоносных PowerShell-скриптов, которые заражали Windows-системы загрузчиком малвари Cosmali Loader.
Как пишет издание Bleeping Computer, на этой неделе пользователи Reddit начали сообщать (1, 2) о странных всплывающих уведомлениях, появившихся на их компьютерах. Эти уведомления сообщали о заражении системы малварью Cosmali Loader и даже объясняли причину — опечатка при вводе команды активации Windows.
«Вы заражены вредоносной программой под названием cosmali loader, потому что ошибочно написали get.activated.win как get.activate[.]win при активации Windows с помощью PowerShell.
Панель управления малвари небезопасна, и любой, кто просматривает ее, имеет доступ к вашему компьютеру.
Переустановите Windows и не повторяйте эту ошибку в следующий раз.
Чтобы убедиться в заражении компьютера, проверьте Диспетчер задач и поищите подозрительные процессы PowerShell», — гласило уведомление в одном из случаев.
Как выяснил исследователь, известный под ником RussianPanda, эти сообщения связаны с опенсорсным загрузчиком малвари Cosmali Loader. Ранее этот вредонос уже попадал в поле зрения аналитика GDATA Карстена Хана (Karsten Hahn), который тоже писал о похожих всплывающих окнах.
Согласно данным RussianPanda, Cosmali Loader доставлял в зараженные системы криптомайнеры и троян удаленного доступа XWorm.
Однако пока неясно, кто именно отправлял предупреждения зараженным пользователям. Предполагается, что это мог сделать анонимный ИБ-исследователь, который каким-то образом получил доступ к C&C-панели малвари и решил использовать это для оповещения жертв о компрометации.
MAS — это известный набор опенсорсных PowerShell-скриптов, автоматизирующих активацию Windows и Office. Инструмент использует HWID-активацию, эмуляцию KMS и использует Ohook и TSforge для обхода защиты. Проект поддерживается командой Massgrave, сообществом и размещен на GitHub.
Стоит отметить, что компания Microsoft считает MAS пиратским инструментом, который активирует продукты без лицензии, при помощи несанкционированных методов. И хотя GitHub (принадлежащий Microsoft) не удаляет эти инструменты, недавно разработчики компании начали бороться с KMS-активацией Windows.
Представители Massgrave уже предупредили пользователей об угрозе get.activate[.]win и призвали всех внимательнее проверять набранные команды перед их выполнением.
