警惕！黑客利用域名抢注伪装Win11激活脚本陷阱

12月25日消息，科技媒体bleepingcomputer昨日（12月24日）发文披露，攻击者近日利用一种“域名抢注”的手法，精心构造了一个与知名微软激活脚本（MAS）高度相似的虚假网站，两者域名仅相差一个字母“d”。用户一旦拼写失误误入该网站，便会被诱导下载名为“Cosmali Loader”的恶意软件。

注：MAS本身是一个在GitHub上开源的脚本集，用于绕过微软的许可验证来激活Windows和Office，其官方正确地址为“get.activated.win”。而攻击者则注册了一个名为“get.activate.win”的恶意域名，两者仅相差一个字母“d”。

此次攻击利用了典型的“域名抢注”策略，即当用户在PowerShell中手动输入命令时，很容易因拼写错误而中招。一旦用户不慎访问了这个伪造域名，系统将不会执行正常的激活程序，反而会被强制下载并运行一段恶意的PowerShell脚本，从而进一步下载和运行“Cosmali Loader”病毒。

近日，Reddit社区涌现大量用户反馈，称电脑突然弹出一条离奇的警告信息。弹窗直白地指出用户因输错网址而感染了恶意软件，并警告称“恶意软件面板不安全，任何人都能访问你的电脑”，最后竟然建议用户立即重装Windows系统。

安全研究人员RussianPanda调查后发现，这并非攻击者的勒索信，极有可能是一位“白帽”研究人员发现了该恶意软件控制后台的漏洞。他在获取权限后，利用该通道向所有已感染的受害者发送了善意的风险提示。

尽管有人发出了善意警告，但“Cosmali Loader”的危害不容小觑。根据分析，该恶意软件主要投放两类载荷：一是加密货币挖矿工具，会暗中消耗系统资源导致电脑卡顿；二是一种名为XWorm的远程访问木马（RAT）。XWorm赋予了攻击者对受害系统的完全控制权，使其能够窃取敏感数据、监控用户行为，甚至执行更多恶意指令。