Низка користувачів Windows зіткнулася з новою схемою атак, у якій зловмисники зловживають популярністю проєкту Microsoft Activation Scripts (MAS). Достатньо допустити одну літерну помилку в PowerShell-команді активації, щоб замість легітимних скриптів запустити шкідливий код, який завантажує Cosmali Loader та розгортає на системі криптомайнери або трояни віддаленого доступу.
Typosquatting-домен замість справжнього Microsoft Activation Scripts
Про інциденти масово повідомили користувачі Reddit, які помітили на своїх ПК несподівані спливаючі вікна. У повідомленнях вказувалося, що система заражена Cosmali Loader через неправильне введення команди активації Windows, зокрема використання домену get.activate[.]win замість коректної адреси MAS.
Цей домен зареєстровано за принципом typosquatting — створення схожих на популярні доменів із розрахунком на опечатки користувачів. Для браузера чи PowerShell це вже інший ресурс, який повністю контролюється операторами атаки.
Що таке Microsoft Activation Scripts (MAS) і чому його підробляють
MAS — це набір опенсорсних PowerShell-скриптів для автоматизованої активації Windows та Office, відомий у спільноті як Massgrave. Набір підтримує HWID-активацію, емуляцію KMS, а також інші методи обходу захисних механізмів Microsoft. Розповсюдження відбувається через GitHub, а скрипти мають високий рівень довіри в частині технічної спільноти.
Саме цим довірчим контекстом і користуються зловмисники. Створивши домен, візуально подібний до ресурсів MAS, вони розміщують на ньому змінені PowerShell-скрипти, які замість «активації» запускають шкідливе завантаження. Користувач, який вводить команду вручну або копіює її з неофіційного джерела й допускає помилку в домені, фактично самостійно ініціює зараження.
Cosmali Loader: можливості завантажувача та типові навантаження
Дослідник під псевдонімом RussianPanda пов’язав зафіксовану активність із Cosmali Loader — опенсорсним завантажувачем шкідливого ПЗ, який раніше аналізував фахівець GDATA Карстен Хан (Karsten Hahn). Cosmali Loader використовується як універсальний «транспортер» для доставки подальших шкідливих модулів.
У вже відомих кампаніях через Cosmali Loader розгорталися, зокрема: криптомайнери, що споживають ресурси CPU і GPU для видобутку криптовалют на користь зловмисників; а також RAT-троян XWorm, який забезпечує повноцінний віддалений доступ до системи, виконання команд, крадіжку даних і подальший рух усередині мережі організації.
Незвичні сповіщення: чиє попередження бачать жертви
Особливістю цієї кампанії стали спливаючі повідомлення, у яких прямо згадувався Cosmali Loader, описувалася причина зараження (опечатка в домені) й навіть надавалися поради: перевстановити Windows та перевірити Диспетчер завдань на наявність підозрілих процесів PowerShell. За оцінками аналітиків, такі повідомлення, ймовірно, надходять не від авторів шкідника, а від стороннього дослідника, який отримав доступ до C&C-панелі Cosmali Loader і вирішив попередити постраждалих.
Опечатка як вектор атаки: ризики typosquatting для користувачів Windows
Сценарій із доменом get.activate[.]win демонструє, наскільки небезпечним може бути typosquatting для користувачів, які працюють з PowerShell та іншими консольними інструментами. Одне неправильне введення доменного імені перетворюється на повноцінний ланцюжок компрометації без будь-яких додаткових дій з боку жертви.
Найвразливішими виявляються користувачі, які запускають PowerShell із правами адміністратора, копіюють команди з форумів та сторонніх сайтів, не перевіряють домени та TLS-сертифікати перед завантаженням скриптів. Команда Massgrave уже публічно попередила спільноту про небезпеку, пов’язану з доменом get.activate[.]win, та закликала уважно перевіряти URL-адреси й команди.
Піратська активація Windows як додатковий фактор ризику
З погляду Microsoft, MAS та подібні інструменти є піратськими засобами активації, оскільки дозволяють активувати Windows і Office без легальної ліцензії, використовуючи емуляцію KMS та інші несанкціоновані механізми. Хоча GitHub не завжди оперативно видаляє такі репозиторії, Microsoft послідовно посилює боротьбу з неофіційною KMS-активацією.
Для кібербезпеки це створює подвійний ризик. Користувач одночасно порушує ліцензійну угоду і покладається на інфраструктуру (скрипти, домени, дзеркала), яка не контролюється ні Microsoft, ні великими вендорами безпеки. Це відкриває широкі можливості для supply chain-атак, коли в ланцюг поставки інструмента непомітно вбудовується шкідливий код, як у випадку з Cosmali Loader.
Як захистити Windows від Cosmali Loader та подібних PowerShell-атак
1. Використання легальних засобів активації. Найнадійніший спосіб уникнути подібних інцидентів — офіційні ліцензії Windows та Office і відмова від піратських активаторів, навіть «опенсорсних».
2. Жорстка перевірка доменів і джерел скриптів. Якщо застосування сторонніх інструментів неминуче, їх слід завантажувати виключно з офіційних репозиторіїв, ретельно перевіряючи доменні імена, посилання та репутацію джерела.
3. Обмеження PowerShell у корпоративному середовищі. Режим Constrained Language Mode, політики AppLocker чи їхні аналоги дозволяють блокувати виконання непідписаних скриптів і забороняти запуск PowerShell з правами адміністратора без прямої необхідності.
4. Моніторинг і аудит активності PowerShell. Увімкнений логінг команд, централізований збір журналів подій та EDR/XDR-рішення допомагають оперативно виявляти аномальні сценарії, характерні для завантажувачів на кшталт Cosmali Loader.
5. Актуальні оновлення та захист кінцевих точок. Регулярні оновлення Windows, сучасне антивірусне ПЗ та поведінкові механізми захисту значно підвищують шанси заблокувати шкідливий код на ранньому етапі.
Історія з фальшивим доменом MAS і Cosmali Loader демонструє, що навіть одна опечатка в командному рядку може обернутися повним компрометуванням системи, встановленням криптомайнера або RAT та втратою даних. Уважне ставлення до джерел команд, відмова від піратських схем активації та базова «гігієна» кібербезпеки — це мінімальний набір дій, який має стати стандартом як для домашніх користувачів, так і для адміністраторів корпоративних Windows-середовищ.
