【安全资讯】仿冒Windows激活脚本域名传播PowerShell恶意软件

概要：

在数字安全领域，利用用户疏忽进行攻击的钓鱼手段层出不穷。近日，安全研究人员发现一起针对Windows系统激活工具用户的恶意攻击事件。攻击者通过注册与合法域名高度相似的仿冒网站，诱骗用户下载并执行恶意PowerShell脚本，导致系统感染名为'Cosmali Loader'的恶意软件，对个人数据安全和系统完整性构成严重威胁。

主要内容：

攻击者注册了仿冒微软激活脚本（MAS）官方域名的“get.activate[.]win”，该域名与合法的“get.activated.win”仅相差一个字符“d”。这种“域名抢注”策略旨在利用用户在手动输入命令时的拼写错误。当用户错误访问该仿冒域名并执行相关PowerShell命令时，系统便会下载并执行恶意脚本。

该脚本会部署名为“Cosmali Loader”的恶意软件加载器。根据安全研究员RussianPanda的分析，Cosmali Loader会进一步在受感染系统上部署加密货币挖矿工具和名为XWorm的远程访问木马。XWorm RAT能够为攻击者提供对受害者系统的完全远程控制权限，从而窃取敏感信息或进行其他恶意活动。

此次事件凸显了使用非官方系统激活工具的内在风险。MAS本身是一个开源项目，通过HWID激活、KMS模拟等技术绕过微软的正版验证，被微软视为盗版工具。攻击者正是利用了这类工具用户群体的特定行为模式。项目维护者已发出警告，提醒用户仔细核对命令和域名。安全专家建议用户避免执行来源不明的远程代码，并在沙箱环境中进行测试，以降低风险。