Se utilizó un dominio tipográfico que se hacía pasar por la herramienta Microsoft Activation Scripts (MAS) para distribuir scripts de PowerShell maliciosos que infectan sistemas Windows con el 'Cosmali Loader'.
BleepingComputer descubrió que varios usuarios de MAS comenzaron a informar en Reddit (1, 2) ayer que recibieron advertencias emergentes en sus sistemas sobre una infección de Cosmali Loader.
Ha sido infectado por un malware llamado 'cosmali loader' porque escribió mal 'get.activated.win' como 'get.activate(.)win' al activar Windows en PowerShell.
El panel del malware es inseguro y cualquiera que lo vea tiene acceso a su computadora.
Reinstale Windows y no cometa el mismo error la próxima vez.
Para comprobar que su computadora está infectada, consulte el Administrador de tareas y busque procesos extraños de PowerShell.
Según los informes, los atacantes han creado un dominio similar, «get.activate(.)win», que se parece mucho al dominio legítimo que figura en el instrucciones oficiales de activación de MAS«obtener.activado.ganar.»
Dado que la diferencia entre ambos es un solo carácter («d»), los atacantes apuestan a que los usuarios escriban mal el dominio.
El investigador de seguridad RussianPanda descubrió que las notificaciones están relacionadas con el malware de código abierto Cosmali Loader y podrían estar relacionadas con similares. notificaciones emergentes detectadas por Karsten Hahn, analista de malware de GDATA.
RussianPanda le dijo a BleepingComputer que Cosmali Loader entregaba utilidades de criptominería y el troyano de acceso remoto (RAT) XWorm.
Aunque no está claro quién envió los mensajes de advertencia a los usuarios, es probable que un investigador bien intencionado obtuvo acceso al panel de control de malware y lo utilizó para informar a los usuarios del compromiso.
MAS es una colección de código abierto de scripts de PowerShell que automatizan la activación de Microsoft Windows y Microsoft Office mediante activación HWID, emulación KMS y varias derivaciones (Ohook, TSforge).
El proyecto está alojado en GitHub y se mantiene abiertamente. Sin embargo, Microsoft lo ve como una herramienta de piratería que activa productos sin una licencia adquirida utilizando métodos no autorizados que eluden su sistema de licencias.
Los mantenedores del proyecto también advirtieron a los usuarios de la campaña y los instaron a verificar los comandos que escriben antes de ejecutarlos.
.png)
Se recomienda a los usuarios que eviten ejecutar código remoto si no comprenden completamente lo que hace, siempre prueben en una zona de pruebas y eviten volver a escribir comandos para minimizar el riesgo de recuperar cargas útiles peligrosas de dominios con errores tipográficos.
Los activadores no oficiales de Windows han sido repetidamente utilizado para la entrega de malwarepor lo que los usuarios deben ser conscientes de los riesgos y tener precaución al utilizar dichas herramientas.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
