Χρησιμοποιήθηκε ένας τομέας με τυπογραφικό έλεγχο που πλαστοπροσωπεί το εργαλείο Microsoft Activation Scripts (MAS) για τη διανομή κακόβουλων σεναρίων PowerShell που μολύνουν συστήματα των Windows με το “Cosmali Loader”.
Το BleepingComputer ανακάλυψε ότι πολλοί χρήστες MAS άρχισαν να αναφέρουν στο Reddit [1, 2] χθες ότι έλαβαν αναδυόμενες προειδοποιήσεις στα συστήματά τους σχετικά με μόλυνση από το Cosmali Loader.
Έχετε μολυνθεί από ένα κακόβουλο λογισμικό που ονομάζεται “cosmali loader” επειδή πληκτρολογήσατε λάθος “get.activated.win” ως “get.activate[.]win’ κατά την ενεργοποίηση των Windows στο PowerShell.
Το πλαίσιο του κακόβουλου λογισμικού είναι ανασφαλές και όλοι όσοι το βλέπουν έχουν πρόσβαση στον υπολογιστή σας.
Επανεγκαταστήστε τα Windows και μην κάνετε το ίδιο λάθος την επόμενη φορά.
Για απόδειξη ότι ο υπολογιστής σας έχει μολυνθεί, ελέγξτε τη Διαχείριση εργασιών και αναζητήστε περίεργες διαδικασίες PowerShell.
Με βάση τις αναφορές, οι εισβολείς έχουν δημιουργήσει έναν τομέα παρόμοιο, “get.activate[.]νίκη», που μοιάζει πολύ με το νόμιμο που αναφέρεται στο επίσημες οδηγίες ενεργοποίησης MAS“get.activated.win.”
Δεδομένου ότι η διαφορά μεταξύ των δύο είναι ένας μόνο χαρακτήρας (“d”), οι εισβολείς στοιχηματίζουν σε χρήστες που πληκτρολογούν λάθος τον τομέα.
Ο ερευνητής ασφαλείας RussianPanda ανακάλυψε ότι οι ειδοποιήσεις σχετίζονται με το κακόβουλο λογισμικό ανοιχτού κώδικα Cosmali Loader και θα μπορούσαν να σχετίζονται με παρόμοιο εντοπίστηκαν αναδυόμενες ειδοποιήσεις από τον αναλυτή κακόβουλου λογισμικού της GDATA, Karsten Hahn.
Το RussianPanda είπε στο BleepingComputer ότι το Cosmali Loader παρέδωσε βοηθητικά προγράμματα cryptomining και τον trojan απομακρυσμένης πρόσβασης XWorm (RAT).
Αν και δεν είναι σαφές ποιος ώθησε τα προειδοποιητικά μηνύματα στους χρήστες, είναι πιθανό ότι ένας καλοπροαίρετος ερευνητής απέκτησε πρόσβαση στον πίνακα ελέγχου κακόβουλου λογισμικού και το χρησιμοποίησε για να ενημερώσει τους χρήστες για τον συμβιβασμό.
Το MAS είναι μια συλλογή ανοιχτού κώδικα από σενάρια PowerShell που αυτοματοποιούν την ενεργοποίηση των Microsoft Windows και του Microsoft Office χρησιμοποιώντας την ενεργοποίηση HWID, την εξομοίωση KMS και διάφορες παρακάμψεις (Ohook, TSforge).
Το έργο φιλοξενείται στο GitHub και διατηρείται ανοιχτά. Ωστόσο, η Microsoft το βλέπει ως εργαλείο πειρατείας που ενεργοποιεί προϊόντα χωρίς αγορασμένη άδεια χρησιμοποιώντας μη εξουσιοδοτημένες μεθόδους που παρακάμπτουν το σύστημα αδειοδότησης της.
Οι συντηρητές του έργου προειδοποίησαν επίσης τους χρήστες της καμπάνιας και τους προέτρεψαν να ελέγξουν τις εντολές που πληκτρολογούν πριν τις εκτελέσουν.
.png "Ψεύτικος τομέας ενεργοποίησης MAS Windows που χρησιμοποιείται για τη διάδοση κακόβουλου λογισμικού PowerShell")
Συνιστάται στους χρήστες να αποφεύγουν την εκτέλεση απομακρυσμένου κώδικα εάν δεν κατανοούν πλήρως τι κάνει, να δοκιμάζουν πάντα σε sandbox και να αποφεύγουν να πληκτρολογούν ξανά εντολές για να ελαχιστοποιούν τον κίνδυνο ανάκτησης επικίνδυνων ωφέλιμων φορτίων από τυπογραφικά κατακερματισμένους τομείς.
Ανεπίσημοι ενεργοποιητές Windows έχουν χρησιμοποιηθεί επανειλημμένα για παράδοση κακόβουλου λογισμικού, επομένως οι χρήστες πρέπει να γνωρίζουν τους κινδύνους και να είναι προσεκτικοί όταν χρησιμοποιούν τέτοια εργαλεία.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
