Windows-Nutzer sehen sich aktuell mit einer neuen Angriffskette konfrontiert, bei der ein gefälschter Domain für Microsoft Activation Scripts (MAS) ausgenutzt wird. Eine minimale Tippfehler‑Abweichung in der Aktivierungskommandos führt dazu, dass statt legitimer PowerShell-Befehle schädliche Skripte ausgeführt und der Cosmali Loader installiert werden. Dieser Malware-Loader wird anschließend genutzt, um Kryptominer und Remote-Access-Trojaner (RAT) wie XWorm auf betroffene Systeme nachzuladen.
Gefälschter MAS-Domain leitet Windows-Nutzer auf Cosmali Loader um
Ausgangspunkt der Vorfälle ist ein Domain, der sich als Infrastruktur des Open-Source-Projekts Microsoft Activation Scripts (MAS, auch „Massgrave“) ausgibt. Statt der offiziellen Projektressourcen nutzen Angreifer die Adresse get.activate[.]win, die der ursprünglichen Bezeichnung zum Verwechseln ähnlich sieht. Auf Plattformen wie Reddit meldeten zahlreiche Nutzer plötzlich auftauchende Hinweise, dass ihr System mit Cosmali Loader infiziert worden sei – ausgelöst durch eine falsch eingegebene Aktivierungskommandos.
MAS selbst ist ein Set von PowerShell-Skripten zur (inoffiziellen) Aktivierung von Windows und Office – unter anderem per HWID-Aktivierung und KMS-Emulation. Die Skripte sind frei auf GitHub verfügbar und genießen in einschlägigen Communitys ein gewisses Vertrauen. Genau dieses Vertrauen wird nun ausgenutzt: Wer Kommandos aus unsicheren Quellen kopiert oder manuell eintippt, kann mit einer einzigen Buchstabenabweichung auf den gefälschten Domain gelenkt werden.
Typosquatting: Wie eine einzige Buchstabenvertauschung zur Infektion führt
Der Angriff basiert auf Typosquatting: Kriminelle registrieren Domainnamen, die bekannten Adressen zum Verwechseln ähnlich sind, um von Tippfehlern der Nutzer zu profitieren. Für Browser und PowerShell ist get.activate[.]win ein völlig anderer Server – und damit eine vollständig von Angreifern kontrollierte Infrastruktur. Wird ein dort gehosteter PowerShell-Befehl mit Administratorrechten ausgeführt, beginnt die Infektionskette ohne weitere Interaktion.
Besonders gefährdet sind Anwender, die PowerShell als Administrator ausführen, Befehle von Foren, Kommentaren oder inoffiziellen Blogs übernehmen und Domainnamen oder TLS-Zertifikate nicht prüfen. Laut gängigen Branchenberichten, etwa von ENISA oder im Verizon Data Breach Investigations Report, zählen manipulierte Skripte und fehlerhafte URLs seit Jahren zu den häufigsten Einfallstoren in Windows-Umgebungen.
Cosmali Loader: Funktionen, Nutzlasten und Angriffsmöglichkeiten
Der Sicherheitsforscher „RussianPanda“ ordnete die beobachtete Aktivität dem Cosmali Loader zu – einem Open-Source-Malware-Loader, der bereits zuvor vom GDATA-Experten Karsten Hahn analysiert wurde. Cosmali Loader dient als flexibler Einstiegspunkt für weitere Schadsoftware und wird typischerweise eingesetzt, um:
• Kryptominer nachzuladen, die CPU- und GPU-Ressourcen zum Schürfen von Kryptowährungen missbrauchen, was Systeme stark auslastet und Energiekosten erhöht.
• Remote-Access-Trojaner wie XWorm (RAT) zu installieren, die Angreifern Fernzugriff ermöglichen, Daten exfiltrieren, zusätzliche Malware verteilen und sich seitlich im Netzwerk ausbreiten können.
Auffällig in diesem Fall sind Pop-up-Benachrichtigungen, die teils explizit auf Cosmali Loader hinweisen und Opfer auffordern, Windows neu zu installieren und den Task-Manager auf verdächtige PowerShell-Prozesse zu prüfen. Nach aktueller Einschätzung könnten diese Hinweise nicht vom ursprünglichen Angreifer stammen, sondern von einem Dritten, der Zugang zum Command-and-Control-Panel (C&C) der Malware erlangt hat und betroffene Nutzer warnen wollte.
Offener Code – offene Angriffsflächen
Cosmali Loader und MAS sind beide Open Source. Offener Quellcode ermöglicht Sicherheitsanalysen, senkt aber zugleich die Hürde für Missbrauch. Angreifer können bewährte Loader übernehmen, anpassen und in eigene Kampagnen integrieren – inklusive Verschleierungstechniken für PowerShell, Umgehung von Antivirenlösungen und modularer Nachladelogik.
Piratische Windows-Aktivierung als Sicherheitsrisiko
Aus Sicht von Microsoft ist MAS ein piratisches Aktivierungswerkzeug, da Windows und Office ohne gültige Lizenz aktiviert werden. GitHub löscht derartige Projekte nicht systematisch, dennoch intensiviert Microsoft seit Jahren die Maßnahmen gegen nicht autorisierte KMS-Aktivierungen. Für die Cybersicherheit bedeutet dies einen doppelten Risikofaktor: Lizenzrechtlich fragwürdige Tools entstehen außerhalb regulierter Ökosysteme, werden selten professionell geprüft und sind daher ein attraktives Ziel für Supply-Chain-Angriffe.
Nutzer, die solche Skripte einsetzen, verlassen den geschützten Rahmen offizieller Update- und Signaturmechanismen. Damit steigt die Wahrscheinlichkeit, dass manipulierte Skripte oder kompromittierte Domains unbemerkt Schadcode einschleusen – wie im vorliegenden Fall über Cosmali Loader.
Prävention: So schützen Unternehmen und Privatanwender ihre Windows-Systeme
1. Verzicht auf inoffizielle Aktivierungs-Tools. Der wirksamste Schutz ist die Nutzung legitimer Lizenzen und offizieller Aktivierungsinfrastrukturen. So lassen sich gleichsam Lizenzrisiken und Malware-Infektionen reduzieren.
2. Sorgfältige Prüfung von Domains und Quellen. Skripte sollten ausschließlich aus offiziellen Repositories (z. B. verifizierte GitHub-Projekte) oder Herstellerseiten stammen. Domainnamen sind Zeichen für Zeichen zu prüfen; verdächtige TLDs oder Abweichungen sind ein klares Warnsignal.
3. Härtung von PowerShell. In Unternehmensumgebungen empfiehlt sich der Constrained Language Mode, ergänzt durch AppLocker oder vergleichbare Application-Control-Lösungen. Dadurch lässt sich die Ausführung nicht signierter oder unbekannter Skripte stark einschränken, insbesondere mit Administratorrechten.
4. Überwachung von PowerShell-Aktivitäten. Aktiviertes PowerShell-Logging, zentralisierte Log-Sammlung (z. B. via SIEM) und moderne EDR/XDR-Lösungen erleichtern das Erkennen atypischer Befehle, die auf Loader wie Cosmali hindeuten. Viele Vorfälle lassen sich so bereits in der frühen Ausführungsphase stoppen.
5. Aktualisierte Endpunktsicherheit. Regelmäßige Windows-Updates, ein aktuelles Antivirenprodukt und verhaltensbasierte Schutzmechanismen erhöhen die Chance, Downloader und Miner zu blockieren, bevor sie sich im System verankern.
Der Fall um Cosmali Loader und den gefälschten MAS-Domain verdeutlicht, wie eine scheinbar triviale Tippfehler‑Domain den Weg für weitreichende Systemkompromittierungen ebnen kann. Wer Skripte aus dem Internet ausführt, sollte Domains und Quellen konsequent prüfen, auf piratische Aktivierungslösungen verzichten und PowerShell durch geeignete Richtlinien absichern. Unternehmen und Privatanwender, die diese Grundregeln der Cyberhygiene beherzigen, verringern nicht nur das Risiko ähnlicher Typosquatting-Angriffe, sondern erhöhen insgesamt die Widerstandsfähigkeit ihrer Windows-Umgebungen gegen aktuelle Malware-Kampagnen.
