Поддельный домен активации Windows и вредоносные скрипты PowerShell
Опубликовал: FIELD LINE, Сегодня, 04:35, В мире / Железо, 4, 0
Недавно зафиксирован случай распространения вредоносных скриптов через поддельный домен активации Windows. Этот инцидент стал результатом хитроумной схемы киберпреступников, воспользовавшихся схожестью доменных имен.
Подробности инцидента
Злоумышленники создали домен get.activate.win, который, всего на одну букву отличался от легитимного домена get.activated.win. Пользователи, ошибочно вводившие неправильный адрес при активации Windows, попадали на поддельный сайт, который развертывал вредоносное программное обеспечение Cosmali Loader. Это ПО предназначалось для распространения других угроз, включая утилиты для криптомайнинга и трояны удаленного доступа XWorm (RAT).
Первые сообщения о проблемах начали поступать от пользователей на Reddit, которые заметили всплывающие предупреждения о заражении их компьютеров. В этих уведомлениях говорилось, что ПК был заражен из-за опечатки при вводе команды в PowerShell.
Вредоносное ПО
Cosmali Loader является загрузчиком, который может устанавливать дополнительные вредоносные компоненты на заражённых системах. Пользователям рекомендовалось переустановить Windows и проверить «Диспетчер задач» на наличие подозрительных процессов PowerShell. Исследование этой угрозы проводил специалист по безопасности под ником RussianPanda.
Рекомендации для пользователей
Проверяйте команды перед вводом. Важно убедиться, что вы вводите правильные адреса и команды.
Используйте средства безопасности. Установите антивирусное ПО и следите за его обновлениями.
Не выполняйте код из ненадежных источников. Будьте осторожны с PowerShell-скриптами и всегда тестируйте их в изолированной среде (песочнице).
Будьте внимательны с файлами и доменами. Внимательно проверяйте адреса сайтов и избегайте использования неофициальных активаторов Windows.
Этот инцидент подчеркивает важность бдительности в киберпространстве и необходимость осознания рисков при использовании нелегального программного обеспечения.
Подробности инцидента
Злоумышленники создали домен get.activate.win, который, всего на одну букву отличался от легитимного домена get.activated.win. Пользователи, ошибочно вводившие неправильный адрес при активации Windows, попадали на поддельный сайт, который развертывал вредоносное программное обеспечение Cosmali Loader. Это ПО предназначалось для распространения других угроз, включая утилиты для криптомайнинга и трояны удаленного доступа XWorm (RAT).
Первые сообщения о проблемах начали поступать от пользователей на Reddit, которые заметили всплывающие предупреждения о заражении их компьютеров. В этих уведомлениях говорилось, что ПК был заражен из-за опечатки при вводе команды в PowerShell.
Вредоносное ПО
Cosmali Loader является загрузчиком, который может устанавливать дополнительные вредоносные компоненты на заражённых системах. Пользователям рекомендовалось переустановить Windows и проверить «Диспетчер задач» на наличие подозрительных процессов PowerShell. Исследование этой угрозы проводил специалист по безопасности под ником RussianPanda.
Рекомендации для пользователей
Проверяйте команды перед вводом. Важно убедиться, что вы вводите правильные адреса и команды.
Используйте средства безопасности. Установите антивирусное ПО и следите за его обновлениями.
Не выполняйте код из ненадежных источников. Будьте осторожны с PowerShell-скриптами и всегда тестируйте их в изолированной среде (песочнице).
Будьте внимательны с файлами и доменами. Внимательно проверяйте адреса сайтов и избегайте использования неофициальных активаторов Windows.
Этот инцидент подчеркивает важность бдительности в киберпространстве и необходимость осознания рисков при использовании нелегального программного обеспечения.
