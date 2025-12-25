Пользователи обнаружили фальшивый домен, маскирующийся под MAS-утилиту (Microsoft Activation Scripts) проекта Massgrave. Домен использовали для распространения вредоносных PowerShell-скриптов, которые заражали Windows-системы загрузчиком малвари Cosmali Loader.

Как пишет издание Bleeping Computer, на этой неделе пользователи Reddit начали сообщать (1, 2) о странных всплывающих уведомлениях, появившихся на их компьютерах. Эти уведомления сообщали о заражении системы малварью Cosmali Loader и даже объясняли причину — опечатка при вводе команды активации Windows.

«Вы заражены вредоносной программой под названием cosmali loader, потому что ошибочно написали get.activated.win как get.activate[.]win при активации Windows с помощью PowerShell. Панель управления малвари небезопасна, и любой, кто просматривает ее, имеет доступ к вашему компьютеру. Переустановите Windows и не повторяйте эту ошибку в следующий раз. Чтобы убедиться в заражении компьютера, проверьте Диспетчер задач и поищите подозрительные процессы PowerShell», — гласило уведомление в одном из случаев.

Как выяснил исследователь, известный под ником RussianPanda, эти сообщения связаны с опенсорсным загрузчиком малвари Cosmali Loader. Ранее этот вредонос уже попадал в поле зрения аналитика GDATA Карстена Хана (Karsten Hahn), который тоже писал о похожих всплывающих окнах.

Согласно данным RussianPanda, Cosmali Loader доставлял в зараженные системы криптомайнеры и троян удаленного доступа XWorm.

Однако пока неясно, кто именно отправлял предупреждения зараженным пользователям. Предполагается, что это мог сделать анонимный ИБ-исследователь, который каким-то образом получил доступ к C&C-панели малвари и решил использовать это для оповещения жертв о компрометации.

MAS — это известный набор опенсорсных PowerShell-скриптов, автоматизирующих активацию Windows и Office. Инструмент использует HWID-активацию, эмуляцию KMS и использует Ohook и TSforge для обхода защиты. Проект поддерживается командой Massgrave, сообществом и размещен на GitHub.

Стоит отметить, что компания Microsoft считает MAS пиратским инструментом, который активирует продукты без лицензии, при помощи несанкционированных методов. И хотя GitHub (принадлежащий Microsoft) не удаляет эти инструменты, недавно разработчики компании начали бороться с KMS-активацией Windows.

Представители Massgrave уже предупредили пользователей об угрозе get.activate[.]win и призвали всех внимательнее проверять набранные команды перед их выполнением.