Тайпсквоттинг-домен, выдающий себя за инструмент Microsoft Activation Scripts (MAS), используется для распространения вредоносных скриптов PowerShell. Они заражают системы Windows вредоносом Cosmali Loader.

Несколько пользователей MAS сообщили о появлении всплывающих предупреждений о заражении Cosmali Loader: «Вы были заражены вредоносной программой под названием “cosmali loader”, потому что ошибочно написали “get.activated.win” как “get.activate[.]win” при активации Windows в PowerShell. Панель вредоносной программы небезопасна, и любой, кто её просматривает, имеет доступ к вашему компьютеру. Переустановите Windows и не повторяйте эту ошибку в следующий раз».

В качестве доказательства пользователи приводят данные диспетчера задач, который демонстрирует странные процессы PowerShell.

Согласно сообщениям, злоумышленники создали домен, похожий на «get.activate[.]win», который очень напоминает легитимный, указанный в официальных инструкциях по активации MAS.

Исследователь безопасности RussianPanda обнаружил, что уведомления связаны с вредоносным ПО с открытым исходным кодом Cosmali Loader и могут быть связаны с аналогичными всплывающими уведомлениями, обнаруженными аналитиком вредоносного ПО GDATA Карстеном Ханом.

Cosmali Loader распространял утилиты для криптомайнинга и троян удаленного доступа XWorm (RAT).

Хотя неясно, кто именно рассылал предупреждающие сообщения пользователям, вероятно, что это были белые хакеры, которые получили доступ к панели управления вредоносным ПО.

MAS — это набор скриптов PowerShell с открытым исходным кодом, автоматизирующих активацию Microsoft Windows и Microsoft Office с использованием активации HWID, эмуляции KMS и различных обходных путей (Ohook, TSforge).

Проект размещён на GitHub и поддерживается в открытом доступе. Однако Microsoft рассматривает его как инструмент пиратства, активирующий продукты без приобретенной лицензии.

Создатели проекта также предупредили пользователей о кампании и призвали их проверять команды перед их выполнением. Им рекомендуется избегать выполнения удалённого кода, если они не до конца понимают его назначение, всегда тестировать его в песочнице и избегать повторного ввода команд, чтобы минимизировать риск загрузки опасных вредоносных программ с доменов, использующих опечатки.

В феврале на GitHub вышел бесплатный свободный активатор Microsoft Activation Scripts 3.0 с новым вариантом быстрого хака на основе эксплойта TSforge для перманентной (постоянной) активации через PowerShell ОС Windows 8 и старше, а также приложений Microsoft Office.

В марте Microsoft запретила ИИ-помощнику Copilot выдавать скрипты MAS с репозитория на GitHub для бесплатной и быстрой активации ОС Windows 7-11 и приложений Office.

В ноябре компания удалила из Windows 11 функционал, позволявший бесплатно продлить активацию ОС до 2038 года через активатор KMS38 от команды MASSGRAVE с помощью MAS.