文章总结： 攻击者利用仿冒微软激活脚本MAS的拼写域名分发恶意PowerShell脚本，致用户感染CosmaliLoader及XWorm远控木马。此事件源于合法域名与仿冒域名仅一字之差。维护者提醒用户仔细核对域名，建议在沙箱环境测试脚本，避免手动重复输入以降低加载恶意载荷的风险。 综合评分： 84 文章分类： 恶意软件,威胁情报,安全意识,漏洞预警

仿冒微软激活工具域名暗藏恶意脚本致Windows设备感染

胡金鱼

嘶吼专业版

2026年1月6日 14:01 北京

攻击者利用仿冒“微软激活脚本（MAS）”的拼写错误域名，分发恶意PowerShell脚本，使Windows系统感染Cosmali Loader恶意软件。

安全研究员发现，有多名MAS工具用户在Reddit平台反馈，其设备弹出Cosmali Loader感染预警提示。

根据用户报告，攻击者搭建了仿冒域名“get.activate[.]win”，该域名与MAS官方激活指南中列出的合法域名“get.activated.win”高度相似。两个域名仅相差一个字符（合法域名多一个“d”），攻击者正是利用用户可能出现的输入失误实施攻击。

警告信息

安全研究员证实，这些预警提示与开源恶意软件Cosmali Loader相关，且可能与GDATA恶意软件分析师Karsten Hahn此前发现的类似弹窗预警同源。

Cosmali Loader会投放加密挖矿工具与XWorm远程控制木马。目前尚不清楚是谁向用户推送了预警信息，但大概率是研究员获取了该恶意软件的控制面板权限后，通过弹窗告知用户设备已遭入侵。

微软激活脚本（MAS）是一套开源PowerShell脚本集合，通过硬件ID（HWID）激活、KMS模拟及多种绕过技术（如Ohook、TSforge），实现微软Windows系统与Office办公软件的自动化激活。

该项目托管于GitHub平台，由开发者公开维护，但微软将其认定为盗版工具——因其通过未授权方式规避许可验证系统，无需购买正版授权即可激活产品。

MAS项目维护者已针对此次攻击事件发出安全预警，提醒用户在执行命令前仔细核对输入内容。同时建议用户若未完全理解远程代码的功能，切勿随意执行；尽量在沙箱环境中测试未知脚本；避免手动重复输入命令，以降低因访问拼写错误域名而加载危险载荷的风险。

需注意的是，非官方Windows激活工具已多次被用于传播恶意软件，用户使用此类工具时需充分认识潜在风险，保持高度警惕。

参考及来源：https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼《仿冒微软激活工具域名暗藏恶意脚本致Windows设备感染》