Um domínio typosquatted que imita a ferramenta Microsoft Activation Scripts (MAS) foi usado para distribuir scripts maliciosos em PowerShell, infectando sistemas Windows com o malware conhecido como Cosmali Loader.
Vários usuários do MAS começaram a relatar no Reddit, ontem, o aparecimento de alertas pop-up em seus sistemas, avisando sobre uma infecção pelo Cosmali Loader.
De acordo com os relatos, os atacantes criaram um domínio falso, "get.activate[.]win", que se assemelha muito ao legítimo citado nas instruções oficiais de ativação do MAS, "get.activated.win".
A diferença entre os dois domínios é mínima, um único caractere ("d"), explorando a possibilidade de erro de digitação pelos usuários.
O pesquisador de segurança RussianPanda identificou que essas notificações estão relacionadas ao malware open source Cosmali Loader, possivelmente associado a alertas semelhantes detectados pelo analista de malware da GDATA, Karsten Hahn.
Embora ainda não esteja claro quem enviou esses avisos aos usuários, há a hipótese de que um pesquisador de boa-fé tenha obtido acesso ao painel de controle do malware e o tenha usado para alertar sobre a infecção.
O MAS é uma coleção open source de scripts em PowerShell que automatizam a ativação do Windows e do Microsoft Office, utilizando métodos como HWID activation, emulação KMS e diversas técnicas de bypass (Ohook, TSforge).
O projeto está hospedado no GitHub e é mantido de forma aberta, mas a Microsoft o considera uma ferramenta de pirataria, por ativar produtos sem licença oficial e empregar métodos não autorizados que burlam seu sistema de licenciamento.
Os responsáveis pelo MAS também alertaram os usuários sobre a campanha maliciosa, recomendando verificar cuidadosamente os comandos digitados antes de executá-los.
É prudente evitar a execução de códigos remotos sem pleno entendimento do funcionamento, testar sempre em ambientes isolados (sandbox) e evitar a execução manual de comandos para reduzir o risco de baixar payloads perigosos de domínios typosquatted.
Ferramentas não oficiais de ativação do Windows têm sido usadas repetidamente para a distribuição de malware, por isso os usuários devem estar cientes dos riscos e agir com cautela ao utilizar esses recursos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...