文章总结： 攻击者利用拼写错误域名伪造MAS激活工具传播CosmaliLoader恶意软件，该软件包含加密货币挖矿工具和XWorm后门。建议用户仔细核对域名，避免执行不明远程代码并在沙箱中测试，警惕非官方激活工具带来的安全风险。 综合评分： 81 文章分类： 恶意软件,威胁情报,安全意识

伪造的 MAS Windows 激活域可用于传播 PowerShell 恶意软件

Rhinoer

犀牛安全

2025年12月29日 00:00 北京

有人利用拼写错误抢注的域名冒充微软激活脚本 (MAS) 工具，散布恶意 PowerShell 脚本，这些脚本会用“Cosmali Loader”感染 Windows 系统。

BleepingComputer 发现，昨天有多名 MAS 用户开始在 Reddit [ 1 , 2 ] 上报告称，他们的系统收到了有关 Cosmali Loader 感染的弹出警告。

根据报告，攻击者建立了一个看起来很像的域名“get.activate[.]win”，它与 官方 MAS 激活说明中列出的合法域名“get.activated.win”非常相似。

鉴于两者之间仅相差一个字符（“d”），攻击者赌用户会输错域名

安全研究员 RussianPanda 发现这些通知与开源 Cosmali Loader 恶意软件有关，并且可能  与 GDATA 恶意软件分析师 Karsten Hahn发现的类似弹出通知有关。

RussianPanda 告诉 BleepingComputer，Cosmali Loader 提供了加密货币挖矿工具和 XWorm 远程访问木马 (RAT)。

虽然尚不清楚是谁向用户推送了警告信息，但很可能是一位好心的研究人员获得了恶意软件控制面板的访问权限，并利用该面板告知用户系统已被入侵。

MAS 是一个开源的 PowerShell 脚本集合，它使用 HWID 激活、KMS 模拟和各种绕过方法（Ohook、TSforge）自动激活 Microsoft Windows 和 Microsoft Office。

该项目托管在 GitHub 上，并由开源团队维护。然而，微软认为它是一款盗版工具，它使用未经授权的方法绕过其许可系统，在未购买许可证的情况下激活产品。

该项目的维护者也向用户发出警告，敦促他们在执行命令前检查自己输入的命令。

建议用户在不完全了解远程代码的功能时，避免执行远程代码；始终在沙箱中进行测试；避免重复输入命令，以最大程度地降低从拼写错误域名获取危险有效载荷的风险。

非官方的 Windows 激活工具屡次被用于传播恶意软件，因此用户在使用此类工具时需要意识到风险并谨慎行事。

信息来源 ：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer《伪造的 MAS Windows 激活域可用于传播 PowerShell 恶意软件》