Вчора на Reddit з’явилися повідомлення про зараження шкідливим програмним забезпеченням під час спроби нелегальної активації Windows. Згідно з цими повідомленнями, зловмисники створили домен get.activate.win, який відрізняється лише на одну літеру від відомого домену для активації Windows — get.activated.win. Їхній розрахунок виявився вірним: деякі користувачі потрапили на підроблений сайт, унаслідок чого їхні ПК були заражені шкідливим програмним забезпеченням під назвою Cosmali Loader.
Дослідник з кібербезпеки з’ясував, що комп’ютери жертв заражені шкідливим ПЗ з відкритим вихідним кодом Cosmali Loader, що також підтвердив аналітик шкідливого програмного забезпечення Карстен Ган (Karsten Hahn). За даними, Cosmali Loader поширював утиліти для криптомайнінгу та троян віддаленого доступу XWorm (RAT).
Користувачі заражених комп’ютерів отримали повідомлення такого змісту:
«Ви були заражені шкідливим програмним забезпеченням під назвою Cosmali Loader, оскільки помилково ввели get.activated.win як get.activate.win під час активації Windows у PowerShell. Панель керування шкідливим програмним забезпеченням є небезпечною, і будь-хто, хто має до неї доступ, може керувати вашим комп’ютером. Перевстановіть Windows і не повторюйте цю помилку наступного разу. Як доказ зараження перевірте “Диспетчер завдань” і зверніть увагу на підозрілі процеси PowerShell».
Автор цих попереджувальних повідомлень залишається невідомим. Експерти припускають, що дослідник із добрими намірами отримав доступ до панелі керування шкідливим ПЗ та використав її для інформування користувачів про небезпеку. Розробники проєкту MAS також попередили користувачів і закликали уважно перевіряти команди перед їх виконанням.
MAS — це набір PowerShell-скриптів з відкритим вихідним кодом, які автоматизують активацію Microsoft Windows та Microsoft Office з використанням HWID-активації, емуляції KMS і різних методів обходу (Ohook, TSforge). Проєкт розміщений на GitHub і перебуває у відкритому доступі. Microsoft розглядає його як інструмент піратства, що активує продукти без ліцензії з використанням несанкціонованих методів.
Користувачам рекомендується уникати виконання віддаленого коду, якщо вони не повністю розуміють його призначення, тестувати програмне забезпечення у пісочниці та не копіювати команди з неперевірених джерел, щоб мінімізувати ризик завантаження шкідливих програм із доменів, які експлуатують помилки в написанні. Неофіційні активатори Windows неодноразово використовувалися для поширення зловмисного ПЗ, тому користувачам варто усвідомлювати ризики та діяти з обережністю.
У березні 2025 року також повідомлялося про те, що ШІ-помічник Copilot допомагав користувачам піратським способом активувати Windows 11, пропонуючи сторонні скрипти для активації системи в кілька кліків. Така поведінка очікувано не сподобалася Microsoft, і зрештою компанія виправила відповіді Copilot на подібні запити, а в листопаді повністю закрила цю лазівку. Джерело