IT之家 12 月 25 日消息，科技媒體 bleepingcomputer 昨日（12 月 24 日）發(fā)布博文，報道稱攻擊者近期利用“域名搶注”手段，建立了一個與知名微軟激活腳本（MAS）極度相似的虛假網(wǎng)站，僅通過一個字母的拼寫差異（缺少“d”）誘導(dǎo)用戶下載“Cosmali Loader”惡意軟件。

IT之家注：MAS 本身是一個在 GitHub 上開源的腳本集，用于繞過微軟的許可驗證來激活 Windows 和 Office，官網(wǎng)地址為“get.activated.win”。而攻擊者精心設(shè)計了一個名為“get.activate.win”的惡意域名，兩者僅相差一個字母“d”。

攻擊者利用了“域名搶注”方式，即用戶在 PowerShell 中手動輸入命令時容易產(chǎn)生拼寫錯誤發(fā)起攻擊。一旦用戶誤入該偽造域名，系統(tǒng)將不會執(zhí)行正常的激活程序，而是被強制下載并運行惡意 PowerShell 腳本，進而下載和運行“Cosmali Loader”病毒。

Reddit 社區(qū)近日出現(xiàn)大量用戶反饋，稱電腦突然彈出一條離奇的警告信息。彈窗直白地指出用戶因輸錯網(wǎng)址而感染了惡意軟件，并警告稱“惡意軟件面板不安全，任何人都能訪問你的電腦”，最后建議用戶立即重裝 Windows 系統(tǒng)。

安全研究人員 RussianPanda 調(diào)查發(fā)現(xiàn)，這并非攻擊者的勒索信，極可能是一位“白帽”研究人員發(fā)現(xiàn)了該惡意軟件控制后臺的漏洞，在獲取權(quán)限后，利用該通道向所有已感染的受害者發(fā)送了善意的風(fēng)險提示。

盡管有人發(fā)出了善意警告，但“Cosmali Loader”的危害不容小覷。據(jù)分析，該惡意軟件主要負責(zé)投放兩類載荷：一是加密貨幣挖礦工具，會暗中消耗系統(tǒng)資源導(dǎo)致電腦卡頓；二是名為 XWorm 的遠程訪問木馬（RAT）。XWorm 賦予了攻擊者對受害系統(tǒng)的完全控制權(quán)，使其能夠竊取敏感數(shù)據(jù)、監(jiān)控用戶行為甚至執(zhí)行更多惡意指令。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。