Пользователи Windows столкнулись с новой цепочкой атак, в которой злоумышленники используют фальшивый домен, маскирующийся под инфраструктуру проекта Microsoft Activation Scripts (MAS), известного также как Massgrave. Ошибка в одной букве при вводе команды активации приводит к выполнению вредоносных PowerShell-скриптов и установке загрузчика Cosmali Loader, способного доставлять на систему криптомайнеры и RAT-трояны.
Как фальшивый домен имитировал Microsoft Activation Scripts
О проблеме впервые массово сообщили пользователи на Reddit, заметив на своих компьютерах необычные всплывающие окна. В них указывалось, что система заражена Cosmali Loader из‑за неправильно введённой команды активации Windows: вместо легитимного домена был использован похожий адрес get.activate[.]win, созданный злоумышленниками по принципу typosquatting (регистрация доменов, похожих на популярные, с расчётом на опечатки пользователей).
Проект MAS представляет собой набор опенсорсных PowerShell-скриптов, автоматизирующих активацию Windows и Office (HWID-активация, эмуляция KMS, использование Ohook и TSforge для обхода защитных механизмов). Скрипты распространяются через GitHub и активно обсуждаются в сообществе Massgrave. Этим доверием и пользуются атакующие: они регистрируют домен, внешне напоминающий легитимный адрес, и подменяют полезный код вредоносными скриптами.
В результате любой пользователь, который вручную набирает команду или копирует её из сомнительного источника и допускает опечатку, рискует неосознанно запустить PowerShell-скрипт с фальшивого домена и инициировать загрузку Cosmali Loader.
Cosmali Loader: функциональность и наблюдаемая вредоносная активность
Исследователь под псевдонимом RussianPanda, изучивший инциденты, связал всплывающие уведомления и аномальную активность PowerShell именно с Cosmali Loader — опенсорсным загрузчиком вредоносного ПО, уже ранее анализировавшимся экспертом GDATA Карстеном Ханом (Karsten Hahn). Ранее этот загрузчик применялся в цепочках атак для развёртывания:
• криптомайнеров, использующих ресурсы процессора и видеокарты для майнинга криптовалюты в пользу злоумышленников;
• трояна удалённого доступа XWorm (RAT), который позволяет атакующим выполнять команды на заражённой системе, красть данные, устанавливать дополнительное ПО и развиваться в сети организации.
Особой деталью инцидента стали сами уведомления: в некоторых случаях жертвам отображалось сообщение с прямым указанием на Cosmali Loader, объяснением причины заражения (опечатка в домене) и рекомендацией переустановить Windows и проверить Диспетчер задач на наличие подозрительных процессов PowerShell. По оценке специалистов, такие уведомления могли исходить не от автора малвари, а от анонимного исследователя, получившего доступ к C&C‑панели Cosmali Loader и решившего предупредить пострадавших.
Опечатка в домене как вектор атаки: typosquatting в действии
Сценарий, реализованный через домен get.activate[.]win, демонстрирует типичный пример typosquatting‑атаки. Пользователь, следуя инструкциям из неофициального источника или по памяти, вводит команду активации Windows с небольшим отклонением от оригинального домена. Для браузера и PowerShell это уже совершенно другой ресурс — и если он контролируется злоумышленником, то цепочка заражения начинается без каких‑либо дополнительных действий со стороны жертвы.
Особенно уязвимы пользователи, которые:
— выполняют команды PowerShell с повышенными правами (Run as Administrator);
— копируют команды не с официальных репозиториев, а из форумов, комментариев и сторонних сайтов;
— не проверяют доменные имена и сертификаты перед загрузкой скриптов.
Команда Massgrave уже официально предупредила сообщество об угрозе, связанной с доменом get.activate[.]win, и призвала уделять больше внимания проверке точного написания команд и используемых URL‑адресов.
Нелицензионная активация Windows и дополнительные риски безопасности
С точки зрения Microsoft, MAS и похожие инструменты относятся к категории пиратских средств активации, поскольку они позволяют активировать Windows и Office без покупки официальной лицензии, используя несанкционированные методы (KMS-эмуляция и другие обходы защиты). Хотя GitHub не спешит удалять подобные проекты, в экосистеме Microsoft уже наблюдается ужесточение борьбы с неофициальной KMS-активацией.
Для кибербезопасности это создаёт двойной риск. С одной стороны, пользователь нарушает лицензионное соглашение. С другой — он вынужден полагаться на скрипты и домены, которые не контролируются ни Microsoft, ни крупными вендорами безопасности. Это значительно упрощает злоумышленникам внедрение вредоносного кода в цепочку поставки (supply chain), как это и произошло в случае с Cosmali Loader.
Как защитить Windows-системы от Cosmali Loader и похожих атак
1. Отказ от неофициальных инструментов активации. Наиболее надёжный способ снизить риски — использование легальных лицензий и официальных механизмов активации Windows и Office.
2. Жёсткая проверка доменов и источников скриптов. Если использование сторонних инструментов неизбежно, важно загружать их только с проверенных источников (оригинальный GitHub‑репозиторий проекта, официальный сайт разработчика), внимательно сверяя доменные имена и ссылки.
3. Ограничение PowerShell и настройка политик. В корпоративной среде рекомендуется применять Constrained Language Mode, AppLocker или подобные средства контроля, ограничивающие выполнение неподписанных скриптов и запуск PowerShell от имени администратора.
4. Мониторинг активности PowerShell. Включённый аудит команд, централизованный сбор логов и использование EDR‑решений позволяют быстро обнаружить аномальные сценарии, характерные для загрузчиков вроде Cosmali Loader.
5. Регулярное обновление и защита конечных точек. Актуальные обновления Windows, антивирусное ПО и решения класса EDR/XDR значительно повышают шансы заблокировать запуск вредоносного кода на раннем этапе.
История с Cosmali Loader и фальшивым доменом MAS наглядно показывает, насколько опасной может оказаться простая опечатка в командной строке. Даже единичная ошибка в доменном имени способна открыть злоумышленникам путь к удалённому управлению системой, установке криптомайнеров и краже данных. Внимательное отношение к источникам команд, отказ от пиратских схем активации и базовая гигиена кибербезопасности — ключевые шаги, которые позволяют пользователям и администраторам предотвратить подобные инциденты и существенно укрепить защиту своих Windows‑сред.
