Jedna literówka i masz wirusa. Tak infekują komputery z Windows

Badacze bezpieczeństwa odkryli nową kampanię złośliwego oprogramowania wymierzoną w użytkowników Windows, którzy korzystają z narzędzia Microsoft Activation Scripts, znanego jako MAS. Atak opierał się na domenie podszywającej się pod oficjalny adres wykorzystywany w instrukcjach projektu. Różnica sprowadzała się do jednej litery, jednak jej konsekwencje okazały się poważne.

Zamiast domeny get.activated.win atakujący wykorzystali adres get.activate[.]win. Literówka była na tyle subtelna, że wielu użytkowników nie zauważyło błędu podczas wpisywania polecenia w PowerShellu. W efekcie na ich komputerach uruchamiane były złośliwe skrypty prowadzące do infekcji malware Cosmali Loader.

Ostrzeżenia, które wywołały panikę

Pierwsi użytkownicy zaczęli zgłaszać problem na Reddicie, gdy na ich ekranach pojawiły się niepokojące komunikaty w formie okienek pop-up. Ostrzeżenia informowały o infekcji Cosmali Loader i sugerowały, że panel sterowania złośliwym oprogramowaniem pozostaje niezabezpieczony, umożliwiając osobom trzecim dostęp do zainfekowanego komputera.

W treści komunikatów pojawiały się także zalecenia ponownej instalacji systemu Windows oraz sugestie sprawdzenia Menedżera zadań pod kątem podejrzanych procesów PowerShella. Dla wielu użytkowników był to pierwszy sygnał, że coś poszło nie tak podczas aktywacji systemu.

A typo-squatting campaign was found on the domain "get[.]activate[.]win" (notice the missing "d"), used to install a remote script-loading trojan.

Please take extra care to verify the commands you type before running them, or download the MAS AIO script from our GitHub.

— MAS (@massgravel) December 23, 2025

Cosmali Loader i jego możliwości

Analityk bezpieczeństwa znany jako RussianPanda powiązał te powiadomienia ze złośliwym oprogramowaniem Cosmali Loader, dostępnym w modelu open source. Według przekazanych informacji loader ten był wykorzystywany do instalowania dodatkowych zagrożeń, w tym narzędzi do kopania kryptowalut oraz trojana zdalnego dostępu XWorm.

Podobne alerty były wcześniej obserwowane przez Karstena Hahna z firmy GDATA, co sugeruje, że kampania mogła mieć szerszy zasięg i była prowadzona od dłuższego czasu. Nadal nie ustalono jednoznacznie, kto odpowiadał za wysyłanie samych ostrzeżeń. Istnieje podejrzenie, że dostęp do panelu złośliwego oprogramowania uzyskał niezależny badacz, który postanowił poinformować ofiary o zagrożeniu.

Typosquatting jako skuteczna broń

Mechanizm ataku opierał się na typosquattingu, czyli rejestrowaniu domen niemal identycznych z legalnymi adresami. W tym przypadku różnica jednego znaku wystarczyła, by przechwycić ruch użytkowników wykonujących polecenia z dokumentacji MAS bez dokładnej weryfikacji wpisywanego adresu.

Atakujący liczyli na automatyzm i rutynę. PowerShell uruchamiał zdalny kod bez dodatkowych pytań, a użytkownicy nie mieli świadomości, że zamiast znanego projektu GitHub pobierają skrypty z kontrolowanej przez cyberprzestępców infrastruktury.

MAS pod lupą Microsoftu

Microsoft Activation Scripts to zestaw otwartoźródłowych skryptów PowerShell służących do aktywacji systemów Windows i pakietu Office przy użyciu metod takich jak HWID, emulacja KMS czy obejścia Ohook i TSforge. Projekt jest publicznie dostępny na GitHubie i rozwijany w sposób jawny, jednak Microsoft traktuje go jako narzędzie pirackie umożliwiające aktywację produktów bez ważnej licencji.

Twórcy MAS odnieśli się do incydentu, ostrzegając użytkowników przed trwającą kampanią i apelując o dokładne sprawdzanie poleceń przed ich uruchomieniem. Podkreślili również, że oficjalna domena projektu nie została naruszona.

Ryzyko wpisane w nieoficjalne aktywatory

Eksperci ds. bezpieczeństwa przypominają, że narzędzia do nieoficjalnej aktywacji systemu Windows od lat są atrakcyjnym wektorem ataku. Wiele kampanii malware bazowało na zaufaniu użytkowników do takich rozwiązań i na ich skłonności do uruchamiania zdalnego kodu bez pełnego zrozumienia jego działania.

Zalecenia pozostają niezmienne. Uruchamianie skryptów z internetu powinno odbywać się wyłącznie przy pełnej świadomości ich funkcji, najlepiej w środowisku testowym. Powielanie poleceń i ręczne przepisywanie adresów domen zwiększa ryzyko błędu, który w tym przypadku zakończył się realnym zagrożeniem dla bezpieczeństwa systemu.