科技媒体 bleepingcomputer 12 月 24 日发布报告，指出攻击者通过“域名抢注”手段注册与微软激活脚本（MAS）官网高度相似的虚假域名“get.activate.win”，该域名较正版“get.activated.win”仅少一个字母“d”。

MAS 是 GitHub 上开源的 Windows 和 Office 激活脚本集。攻击者利用用户在 PowerShell 中手动输入命令时易发生拼写错误的特点，诱导其访问伪造站点。

一旦用户误入该恶意域名，系统将不会执行正常激活流程，而是自动下载并运行恶意 PowerShell 脚本，进而加载名为“Cosmali Loader”的恶意软件。

近期 Reddit 社区出现大量用户反馈，称电脑弹出异常警告，明确提示因输错网址而感染恶意软件，并警告“恶意软件面板不安全，任何人都能访问你的电脑”，建议立即重装系统。

安全研究人员 RussianPanda 分析确认，此警告并非攻击者勒索信息，极可能是某位“白帽”黑客发现该恶意软件控制后台存在安全漏洞，在取得访问权限后，利用该通道向所有已感染设备发送了风险提醒。

尽管收到善意警告，但“Cosmali Loader”仍具严重威胁。分析显示，该恶意软件主要投递两类载荷：一是加密货币挖矿程序，暗中占用系统资源导致设备性能下降；二是 XWorm 远程访问木马（RAT），可使攻击者完全控制受害主机，实现数据窃取、行为监控及进一步指令执行。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。