Malware distribuito tramite attivatore di Windows

Ignoti cybercriminali hanno distribuito un malware sfruttando il noto tool Microsoft Activation Scripts (MAS) e un errore involontario degli utenti che cercano di attivare le copie pirata di Windows. Un ricercatore di sicurezza è riuscito ad avvisare le vittime.

Evitare gli attivatori di Windows

Microsoft Activation Scripts (MAS) è una collezione open source di script PowerShell che automatizza l’attivazione di Windows 8/10/11 e Office utilizzano diversi metodi (HWID, emulazione KMS, Ohook e TSforge). Il progetto è ospitato su GitHub e periodicamente aggiornato. È ovviamente un tool che permette di attivare i software Microsoft senza licenza, ma l’azienda di Redmond non ha rimosso i file (GitHub è di Microsoft).

Gli utenti possono usare la versione all-in-one con l’elenco delle opzioni di attivazione oppure digitare i singoli comandi in PowerShell. Quest’ultima opzione prevede l’accesso al dominio get.activated.win. Se viene digitato inavvertitamente il dominio get.activate.win, l’utente installa sul computer Cosmali Loader che scarica vari malware, tra cui miner di criptovalute e XWorm RAT (Remote Access Trojan).

Diversi utenti hanno visto sullo schermo un avviso come questo:

Non è chiaro chi ha inviato il messaggio. Probabilmente un ricercatore di sicurezza ha ottenuto l’accesso al pannello di controllo del malware e informato le vittime, consigliando di reinstallare Windows. Gli sviluppatori di MAS hanno confermato la campagna di typosquatting.

Gli utenti dovrebbero controllare con attenzione i comandi PowerShell prima dell’esecuzione. Essendo un tool pirata è meglio evitare l’uso di MAS. Gli attivatori di Windows e Office sono spesso sfruttati per distribuire malware di vario tipo, soprattutto se scaricati da siti poco affidabili o tramite rete Torrent.