文章总结： 攻击者利用拼写错误域名冒充微软激活工具MAS，诱导用户下载CosmaliLoader恶意脚本，进而植入挖矿工具和XWorm木马。用户收到的感染警告疑似为白帽子通过不安全控制面板发送的善意提醒。建议用户仔细核对域名，避免运行不明远程代码或在沙箱中测试，以防范此类软件供应链攻击风险。 综合评分： 88 文章分类： 恶意软件,威胁情报,漏洞分析,终端安全,安全意识

伪造Windows激活工具域名暗藏恶意软件

独眼情报

2025年12月25日 14:36 湖北

有人利用拼写错误抢注的域名冒充微软激活脚本 (MAS) 工具，散布恶意 PowerShell 脚本，这些脚本会用“Cosmali 加载器”感染 Windows 系统。

研究人员发现，昨天有多名 MAS 用户开始在 Reddit上报告称，他们的系统收到了有关 Cosmali Loader 感染的弹出警告。

由于您在 PowerShell 中激活 Windows 时将“get.activated.win”误输入为“get.activate[.]win”，因此您感染了名为“cosmali 加载器”的恶意软件。

该恶意软件的控制面板不安全，任何查看它的人都可以访问您的计算机。

重装系统，下次别再犯同样的错误了。

要证明您的计算机已感染病毒，请检查任务管理器并查找异常的 PowerShell 进程。

根据报告，攻击者建立了一个看起来很像的域名“get.activate[.]win”，它与官方 MAS 激活说明中列出的合法域名“get.activated.win”非常相似。

鉴于两者之间仅相差一个字符（“d”），攻击者赌用户会输错域名。

安全研究员 RussianPanda 发现这些通知与开源 Cosmali Loader 恶意软件有关，并且可能与 GDATA 恶意软件分析师 Karsten Hahn 发现的类似弹出通知有关。

RussianPanda 告诉研究人员，Cosmali Loader 提供了加密货币挖矿工具和 XWorm 远程访问木马 (RAT)。

虽然尚不清楚是谁向用户推送了警告信息，但很可能是一位好心的研究人员获得了恶意软件控制面板的访问权限 ，并利用该面板告知用户系统已被入侵。

一位好心人获得了坏人恶意软件控制面板的访问权限，并利用它向您推送了这条消息，告知您您的系统已被黑客入侵。

MAS 是一个开源的 PowerShell 脚本集合，它使用 HWID 激活、KMS 模拟和各种绕过方法（Ohook、TSforge）自动激活 Microsoft Windows 和 Microsoft Office。

该项目托管在 GitHub 上，并由开源团队维护。然而，微软认为它是一款盗版工具，它使用未经授权的方法绕过其许可系统，在未购买许可证的情况下激活产品。

该项目的维护者也向用户发出警告，敦促他们在执行命令前检查自己输入的命令。

建议用户在不完全了解远程代码的功能时，避免执行远程代码；始终在沙箱中进行测试；避免重复输入命令，以最大程度地降低从拼写错误域名获取危险有效载荷的风险。

非官方的 Windows 激活工具屡次被用于传播恶意软件 ，因此用户在使用此类工具时需要意识到风险并谨慎行事。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 《伪造Windows激活工具域名暗藏恶意软件》