Заражение компьютеров через фейковый домен активации Windows

Что произошло?

Недавно ряд пользователей заметили предупреждения о вирусе «Cosmali Loader», вызванные неправильным введением команды активации Windows в PowerShell. Вместо официального домена get.activated.win злоумышленниками был зарегистрирован схожий по виду домен get.activate.1win, различающийся лишь одной буквой (d отсутствует). После попадания на фальшивый сайт запускался вредоносный скрипт, ведущий к проникновению на устройство нежелательного программного обеспечения.

Сообщение об угрозе выглядело следующим образом:

• Ваше устройство было заражено вирусом «Cosmali Loader» вследствие неверного ввода домена при попытке активации Windows через PowerShell.
• Из-за уязвимости интерфейса администрирования вашего компьютера третьи лица могли получить контроль над системой.
• Рекомендуется полная переустановка операционной системы и внимательнее относиться к используемым адресам.
• Для проверки наличия угрозы открывайте Диспетчер задач и проверяйте запущенные процессы PowerShell.

Чем грозит данная угроза?

Опасность состоит в том, что загрузчик Cosmali Loader применялся для установки майнинговых утилит и троянов удалённого доступа (XWorm RAT). Этот метод используется хакерами для скрытого заработка криптовалют путём эксплуатации ресурсов жертвы либо для контроля устройства удалённо.

Как защитить себя?

Для предотвращения подобной атаки специалисты советуют:

• Тщательно сверять вводимые домены перед исполнением скриптов.
• Никогда не исполнять сторонние программы или сценарии без полного понимания последствий.
• Проверять команды в виртуальной песочнице перед применением.
• Использовать антивирусные решения и регулярно обновлять операционную систему.

Подводя итог, использование неофициальных способов активации Windows сопряжено с высоким риском заражения вредоносным ПО, поэтому лучше соблюдать предельную осторожность при работе с подобными инструментами.