A procura por métodos não oficiais para ativar produtos da Microsoft continua a ser uma porta de entrada frequente para ameaças informáticas. Recentemente, foi descoberta uma campanha maliciosa que se aproveita de um pequeno erro de digitação ao utilizar a ferramenta Microsoft Activation Scripts (MAS) para infetar sistemas Windows com malware.
Os atacantes registaram um domínio visualmente semelhante ao oficial, esperando que os utilizadores cometessem um erro ao escrever o comando de ativação no PowerShell.
Um erro de uma letra
A ferramenta MAS é uma coleção de scripts de código aberto popular entre utilizadores que procuram ativar o Windows e o Office através de métodos como a ativação HWID ou emulação KMS. O método oficial de execução envolve digitar um comando curto que aponta para o domínio específico.
No entanto, cibercriminosos registaram um dominio bastante parecido — omitindo apenas a letra "d". Quando um utilizador se engana e escreve o endereço incorreto, em vez de ativar o sistema operativo, acaba por descarregar e executar um script malicioso. Segundo reporta a BleepingComputer, este script instala o malware conhecido como "Cosmali Loader" no computador da vítima.
O aviso inesperado no ecrã
O aspeto mais curioso desta campanha é que as próprias vítimas começaram a ser alertadas para a infeção através de uma mensagem pop-up nos seus sistemas. Vários utilizadores relataram no Reddit o aparecimento de uma janela com o aviso: "Foste infetado por um malware chamado 'cosmali loader' porque escreveste mal 'ENDEREÇO DO ATIVADOR LEGITIMO' [...] ao ativar o Windows no PowerShell".
A mensagem avisa ainda que o painel de controlo do malware é inseguro, permitindo que qualquer pessoa que o visualize tenha acesso ao computador da vítima, e recomenda a reinstalação do sistema operativo. Especialistas acreditam que um investigador de segurança "well-intended" (bem-intencionado) terá conseguido aceder ao painel de controlo dos atacantes e enviou esta mensagem para alertar os utilizadores comprometidos.
O perigo do Cosmali Loader
Apesar do aviso inusitado, a ameaça é real. O malware Cosmali Loader, analisado por investigadores como RussianPanda, tem a capacidade de distribuir outras ferramentas maliciosas. Entre as cargas detetadas estão utilitários de mineração de criptomoedas e o trojan de acesso remoto (RAT) XWorm, que permite aos atacantes controlar totalmente a máquina infetada.
Embora o projeto MAS esteja alojado no GitHub e seja mantido abertamente, a Microsoft considera-o uma ferramenta de pirataria. Os responsáveis pelo projeto legítimo já emitiram alertas sobre esta campanha de "typosquatting" (registo de domínios com erros ortográficos comuns), aconselhando os utilizadores a verificar cuidadosamente os comandos antes de os executarem e a evitar digitar endereços manualmente, optando por copiar e colar a partir de fontes oficiais.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech