В сети выявлен очередной пример того, как попытка нелегальной активации Windows может привести к заражению системы. Поводом для расследования стали сообщения пользователей на Reddit, которые сообщили о вредоносном ПО, появившемся после ввода команд для активации ОС через PowerShell.

Как работала схема заражения

Злоумышленники зарегистрировали домен get.activate.win, отличающийся всего одной буквой от популярного ресурса get.activated.win, широко известного среди пользователей пиратских активаторов Windows. Расчёт оказался простым и эффективным — из-за опечатки часть пользователей попадала на поддельный сайт и запускала вредоносные скрипты.

В результате на компьютеры жертв загружалось вредоносное ПО под названием Cosmali Loader.

Что обнаружили исследователи

Специалист по информационной безопасности, известный под псевдонимом RussianPanda, установил, что заражённые системы содержат Cosmali Loader с открытым исходным кодом. Эти выводы подтвердил аналитик вредоносного ПО Карстен Хан (Karsten Hahn).

По имеющимся данным, Cosmali Loader использовался для распространения:

• инструментов для скрытого криптомайнинга;

• трояна удалённого доступа XWorm (RAT), позволяющего злоумышленникам контролировать заражённый компьютер.

Необычное предупреждение жертвам

Пользователи инфицированных систем получили сообщение, в котором прямо указывалась причина заражения — ошибка при вводе домена во время активации Windows через PowerShell. В тексте утверждалось, что панель управления вредоносным ПО небезопасна, а любой, кто имеет к ней доступ, фактически контролирует заражённый компьютер.

Также в сообщении рекомендовалось:

• полностью переустановить Windows;

• проверить «Диспетчер задач» на наличие подозрительных процессов PowerShell.

Автор этих уведомлений официально не установлен. Эксперты предполагают, что доступ к управляющей панели вредоносного ПО мог получить исследователь, который использовал его для предупреждения пострадавших пользователей.

Что такое MAS и почему он опасен

Создатели проекта MAS (Microsoft Activation Scripts) также отреагировали на ситуацию и призвали пользователей внимательно проверять команды перед выполнением.

MAS представляет собой открытый набор PowerShell-скриптов, автоматизирующих нелегальную активацию:

• Microsoft Windows;

• Microsoft Office.

В инструментарии используются методы HWID-активации, эмуляция KMS и различные обходные механизмы (Ohook, TSforge). Проект размещён на GitHub и находится в открытом доступе, однако Microsoft официально классифицирует его как пиратский инструмент, использующий несанкционированные способы активации.

Рекомендации по безопасности

Эксперты вновь подчёркивают базовые правила цифровой гигиены:

• не запускать удалённый код, если его назначение до конца не понятно;

• проверять команды перед выполнением, особенно при копировании из интернета;

• тестировать сомнительное ПО в изолированной среде или песочнице;

• избегать сайтов с доменами, использующими опечатки и визуально схожие названия.

История показывает, что неофициальные активаторы Windows регулярно становятся каналом распространения вредоносного ПО, и риск их использования остаётся высоким.

Контекст: роль ИИ и реакция Microsoft

Ранее, в марте 2025 года, стало известно, что ИИ-помощник Copilot фактически помогал пользователям активировать Windows 11 пиратским способом, предлагая сторонние скрипты для быстрой активации. Такое поведение вызвало резкую реакцию Microsoft — сначала ответы Copilot были скорректированы, а затем, в ноябре, компания полностью закрыла эту возможность.

Случай с поддельным доменом активации ещё раз показывает: даже незначительная ошибка в адресе и доверие к сомнительным инструкциям могут привести к полной компрометации системы.