Зловреден софтуер атакува потребители на Windows чрез фалшив домейн
Вчера в Reddit се разпространиха тревожни съобщения за нова заплаха, свързана със зловреден софтуер, който цели незаконна активация на Windows. Нападателите са регистрирали домейн, който само с една буква се различава от легитимния: get.activate.win вместо get.activated.win. Потребители, които случайно са посетили фалшивия сайт, са станали жертви на инфекция.
Според информация от изследователя по сигурността RussianPanda, заразените компютри са били атакувани от Cosmali Loader, зловреден софтуер с отворен код. Анализаторът на зловреден софтуер Карстен Хан потвърди, че Cosmali Loader разпространява троянски кон за отдалечен достъп (RAT) на име XWorm и помощни програми за криптодобив.
Засегнатите потребители получават предупреждение, в което се посочва, че са заразени и им се препоръчва да преинсталират Windows, след като са направили грешка при въвеждане на домейна. Съобщението подчертава, че всеки, който разгледа панела на зловредния софтуер, може да получи достъп до компютъра.
Неизвестен изследовател с добри намерения е успял да получи достъп до контролния панел на зловредния софтуер и е използвал информацията, за да предупреди потребителите. Проектът MAS, който автоматизира активацията на Windows, също предупреждава за рисковете от неправилно въвеждане на команди.
Потребителите се съветват да бъдат внимателни при изпълнението на отдалечен код и да тестват софтуера в безопасна среда. Неофициални активатори на Windows многократно са служили за разпространение на зловреден софтуер, затова е важно да се внимава при тяхното използване.
През март беше съобщено, че изкуственият интелект Copilot е помагал на потребителите да пиратстват Windows 11, предлагайки скриптове за активация. Microsoft реагира на ситуацията, коригирайки отговорите на Copilot и затваряйки пролуката през ноември.