12 月 25 日消息,科技媒体 bleepingcomputer 昨日(12 月 24 日)发布博文,报道称攻击者近期利用“域名抢注”手段,建立了一个与知名微软激活脚本(MAS)极度相似的虚假网站,仅通过一个字母的拼写差异(缺少“d”)诱导用户下载“Cosmali Loader”恶意软件。
IT之家注:MAS 本身是一个在 GitHub 上开源的脚本集,用于绕过微软的许可验证来激活 Windows 和 Office,官网地址为“get.activated.win”。而攻击者精心设计了一个名为“get.activate.win”的恶意域名,两者仅相差一个字母“d”。
攻击者利用了“域名抢注”方式,即用户在 PowerShell 中手动输入命令时容易产生拼写错误发起攻击。一旦用户误入该伪造域名,系统将不会执行正常的激活程序,而是被强制下载并运行恶意 PowerShell 脚本,进而下载和运行“Cosmali Loader”病毒。
Reddit 社区近日出现大量用户反馈,称电脑突然弹出一条离奇的警告信息。弹窗直白地指出用户因输错网址而感染了恶意软件,并警告称“恶意软件面板不安全,任何人都能访问你的电脑”,最后建议用户立即重装 Windows 系统。
安全研究人员 RussianPanda 调查发现,这并非攻击者的勒索信,极可能是一位“白帽”研究人员发现了该恶意软件控制后台的漏洞,在获取权限后,利用该通道向所有已感染的受害者发送了善意的风险提示。
尽管有人发出了善意警告,但“Cosmali Loader”的危害不容小觑。据分析,该恶意软件主要负责投放两类载荷:一是加密货币挖矿工具,会暗中消耗系统资源导致电脑卡顿;二是名为 XWorm 的远程访问木马(RAT)。XWorm 赋予了攻击者对受害系统的完全控制权,使其能够窃取敏感数据、监控用户行为甚至执行更多恶意指令。