Любители бесплатного софта и пользователи, пытающиеся активировать операционную систему в обход официальных магазинов, столкнулись с новой угрозой. В сети активизировалась кампания, направленная против фанатов популярного инструмента Microsoft Activation Scripts (MAS). Злоумышленники зарегистрировали домен, который всего одной буквой отличается от легитимного адреса, и используют его для распространения вредоносного ПО.
Инцидент связан с методом тайпсквоттинга, когда хакеры рассчитывают на невнимательность жертвы при вводе веб-адреса. Оригинальная команда для запуска скрипта через PowerShell подразумевает использование сокращенной ссылки. Однако, если пользователь пропустит букву d в слове activated, запрос перенаправляется на поддельный сервер. Вместо утилиты для лицензирования на компьютер загружается вредоносный загрузчик, известный как Cosmali Loader.
Специалисты по информационной безопасности выяснили, что данный зловред способен устанавливать в систему дополнительные опасные программы. В их числе были замечены скрытые майнеры для добычи криптовалюты и трояны удаленного доступа, позволяющие посторонним управлять компьютером жертвы. Ситуация получила широкую огласку после того, как пользователи Reddit начали массово жаловаться на странное поведение своих систем.
Примечательно, что многие пострадавшие узнали о заражении благодаря необычному уведомлению, которое внезапно появилось на их экранах. Предполагается, что некий сторонний исследователь обнаружил уязвимость в панели управления самих злоумышленников и решил предупредить пользователей. Во всплывающем окне сообщалось, что компьютер инфицирован из-за опечатки в адресе, а панель управления вирусом небезопасна. Анонимный доброжелатель посоветовал жертвам немедленно переустановить Windows и впредь быть внимательнее.
Представители команды Massgrave, разрабатывающие оригинальный скрипт, подтвердили факт атаки на своих пользователей. В своем официальном заявлении они призвали юзеров тщательно проверять каждую букву перед выполнением команд в терминале или скачивать проверенные файлы только с их страницы на GitHub. Стоит напомнить, что сама корпорация Microsoft считает подобные инструменты пиратскими, хотя и не блокирует репозиторий проекта на своей платформе.