Cosmali Loader木马仿冒域名攻击：输入错误即被控，用户需警惕

12月25日，据技术资讯披露，近期发生了一起利用域名仿冒手段实施的网络攻击事件。攻击者注册了一个与合法域名高度相似的虚假域名，诱导用户访问伪造的站点，进而传播名为“Cosmali Loader”的恶意程序。该行为主要针对使用特定脚本进行系统激活的用户群体。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

原服务是一个开源的自动化工具，主要用于管理系统及办公软件的授权状态，其最新域名为“get.activated.win”。攻击者注册的域名则为“get.activate.win”，仅少了一个字母“d”，外观上极易混淆。这种手法属于典型的“域名拼写错误劫持”，常利用用户在命令行环境中手动输入时可能出现的疏漏。

当用户误访该伪造站点并执行相关指令后，系统不会运行正常的激活流程，而是自动下载并执行一段恶意PowerShell代码。该代码会进一步加载“Cosmali Loader”载荷，实现持久化驻留和远程控制能力。

近日，多个技术论坛中陆续有用户反映设备异常：屏幕上突然弹出一条明确提示，指出其因输入错误网址而感染病毒，并警告“当前恶意软件的控制面板处于公开状态，任何人都可接入你的设备”。信息末尾建议立即重装操作系统以清除威胁。

经安全人员调查，此类弹窗并非攻击者所发的勒索声明，而极有可能出自一位未具名的安全研究者之手。该人士在发现恶意程序后台存在访问漏洞后，获取了部分控制权限，并反向利用通信通道向所有已识别的受控设备推送了安全警告。

尽管这一提醒具有正面作用，但不可因此低估该恶意软件本身的危险性。分析表明，“Cosmali Loader”具备模块化特征，主要用于分发两类后续载荷：一是隐蔽运行的加密货币挖矿程序，大量占用计算资源，导致设备性能显著下降；二是名为XWorm的远程访问木马，能够赋予攻击者对受感染系统的完全操控权，包括文件窃取、键盘记录、屏幕监控以及下发额外恶意指令等操作。

目前，相关技术社区已加强对此类仿冒行为的警示，建议用户在执行命令时仔细核对域名拼写，优先通过可信渠道获取脚本工具，并启用必要的安全防护措施以降低风险。