山東
IT之家 12 月 25 日消息,科技媒體 bleepingcomputer 昨日(12 月 24 日)發布博文,報道稱攻擊者近期利用“域名搶注”手段,建立了一個與知名微軟激活腳本(MAS)極度相似的虛假網站,僅通過一個字母的拼寫差異(缺少“d”)誘導用戶下載“Cosmali Loader”惡意軟件。
IT之家注:MAS 本身是一個在 GitHub 上開源的腳本集,用于繞過微軟的許可驗證來激活 Windows 和 Office,官網地址為“get.activated.win”。而攻擊者精心設計了一個名為“get.activate.win”的惡意域名,兩者僅相差一個字母“d”。
攻擊者利用了“域名搶注”方式,即用戶在 PowerShell 中手動輸入命令時容易產生拼寫錯誤發起攻擊。一旦用戶誤入該偽造域名,系統將不會執行正常的激活程序,而是被強制下載并運行惡意 PowerShell 腳本,進而下載和運行“Cosmali Loader”病毒。
Reddit 社區近日出現大量用戶反饋,稱電腦突然彈出一條離奇的警告信息。彈窗直白地指出用戶因輸錯網址而感染了惡意軟件,并警告稱“惡意軟件面板不安全,任何人都能訪問你的電腦”,最后建議用戶立即重裝 Windows 系統。
安全研究人員 RussianPanda 調查發現,這并非攻擊者的勒索信,極可能是一位“白帽”研究人員發現了該惡意軟件控制后臺的漏洞,在獲取權限后,利用該通道向所有已感染的受害者發送了善意的風險提示。
盡管有人發出了善意警告,但“Cosmali Loader”的危害不容小覷。據分析,該惡意軟件主要負責投放兩類載荷:一是加密貨幣挖礦工具,會暗中消耗系統資源導致電腦卡頓;二是名為 XWorm 的遠程訪問木馬(RAT)。XWorm 賦予了攻擊者對受害系統的完全控制權,使其能夠竊取敏感數據、監控用戶行為甚至執行更多惡意指令。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
