Een typosquatted domein dat zich voordoet als de Microsoft Activation Scripts (MAS) tool is gebruikt om kwaadaardige PowerShell-scripts te verspreiden die Windows-systemen infecteren met de ‘Cosmali Loader’.

BleepingComputer ontdekte dat meerdere MAS-gebruikers gisteren op Reddit begonnen te melden dat ze waarschuwingen ontvingen over een Cosmali Loader-infectie op hun systeem.

> Je bent geïnfecteerd met malware genaamd ‘cosmali loader’ omdat je ‘get.activated.win’ verkeerd typte als ‘get.activate[.]win’ bij het activeren van Windows in PowerShell.
>
> Het malwarepaneel is onveilig en iedereen die het ziet, heeft toegang tot je computer.
>
> Herinstalleer Windows en maak deze fout de volgende keer niet.
>
> Voor bewijs dat je computer is geïnfecteerd, controleer Taakbeheer op vreemde PowerShell-processen.

Op basis van de meldingen hebben aanvallers een domein opgezet, “get.activate[.]win,” dat sterk lijkt op het legitieme domein uit de officiële MAS-activatie-instructies, “get.activated.win.”

Aangezien het verschil tussen de twee slechts één teken is (“d”), gokten de aanvallers erop dat gebruikers het domein verkeerd zouden typen.

Beveiligingsonderzoeker RussianPanda ontdekte dat de meldingen verband houden met de open source Cosmali Loader malware, en dat deze mogelijk verbonden zijn met soortgelijke pop-upmeldingen die door GDATA-malwareanalist Karsten Hahn zijn gespot.

RussianPanda vertelde BleepingComputer dat Cosmali Loader cryptomininghulpmiddelen en de XWorm remote access trojan (RAT) leverde.

Hoewel onduidelijk is wie de waarschuwingsberichten naar gebruikers stuurde, is het waarschijnlijk dat een welwillende onderzoeker toegang had tot het malwarecontrolepaneel en het gebruikte om gebruikers te informeren over de compromittering.

MAS is een open-source verzameling van PowerShell-scripts die de activatie van Microsoft Windows en Microsoft Office automatiseren met behulp van HWID-activatie, KMS-emulatie en diverse omzeilingen (Ohook, TSforge).

Het project wordt gehost op GitHub en wordt openlijk onderhouden. Echter, Microsoft beschouwt het als een piraterijtool die producten activeert zonder een aangeschafte licentie via ongeautoriseerde methoden die het licentiesysteem omzeilen.

De beheerders van het project waarschuwden gebruikers ook voor de campagne en spoorden hen aan om de commando’s die ze typen te controleren voordat ze deze uitvoeren.

Gebruikers wordt aangeraden om geen externe code uit te voeren als ze niet volledig begrijpen wat deze doet, altijd te testen in een sandbox, en te vermijden om commando’s opnieuw te typen om het risico op gevaarlijke ladingen van typosquatted domeinen te minimaliseren.

Onofficiële Windows-activatietools zijn herhaaldelijk gebruikt voor malwarelevering, dus gebruikers moeten zich bewust zijn van de risico’s en voorzichtig omgaan met dergelijke tools.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.