Selon BleepingComputer, un domaine typosquatté usurpant l’outil Microsoft Activation Scripts (MAS) a servi à propager des scripts PowerShell malveillants qui installent le chargeur Cosmali sur des systèmes Windows.

Faits essentiels:

  • Type d’attaque: typosquatting et usurpation d’outil légitime (MAS) 🪪
  • Vecteur/chaîne d’infection: scripts PowerShell malveillants exécutés depuis le faux site 🧩
  • Cible/impact: systèmes Windows infectés par Cosmali Loader (malware/loader) 🐛

Une campagne de typosquatting ciblant les utilisateurs de Microsoft Activation Scripts (MAS) a été utilisée pour diffuser un malware nommé Cosmali Loader via des scripts PowerShell malveillants.

Les attaquants ont enregistré un domaine frauduleux, get.activate[.]win, très proche du domaine légitime get.activated.win référencé dans la documentation officielle de MAS.
La différence ne portant que sur une seule lettre (d manquant), de nombreux utilisateurs ont été piégés en copiant ou retapant incorrectement la commande PowerShell.

Une fois exécuté, le script malveillant infecte le système avec Cosmali Loader, qui a ensuite servi à déployer :

  • des outils de cryptominage, et
  • le cheval de Troie d’accès distant (RAT) XWorm.

Des notifications inhabituelles sont apparues sur les systèmes compromis, avertissant les victimes de l’infection. Il est probable qu’un chercheur en sécurité, ayant obtenu l’accès au panneau de contrôle du malware (mal sécurisé), ait utilisé celui-ci pour alerter les utilisateurs.

Les mainteneurs de MAS ont confirmé la campagne et rappelé que :

  • MAS est un outil non officiel d’activation, considéré par Microsoft comme de la contrefaçon logicielle,
  • les activateurs Windows non officiels sont fréquemment utilisés comme vecteurs de malware.

IOC observables

Domaines

  • Malveillant (typosquatting) :
    • get.activate[.]win
  • Légitime (référence) :
    • get.activated.win

Malware

  • Cosmali Loader
  • XWorm RAT

Indicateurs comportementaux

  • Processus PowerShell inhabituels visibles dans le Gestionnaire des tâches
  • Pop-ups signalant une infection Cosmali Loader
  • Téléchargement et exécution de scripts PowerShell distants

TTPs (extraits – MITRE ATT&CK)

Accès initial

  • T1566.002 – Phishing: Spearphishing Link
    Utilisation d’un domaine typosquatté pour tromper les utilisateurs.
  • T1608.001 – Stage Capabilities: Upload Malware
    Hébergement de scripts malveillants accessibles publiquement.

Exécution

  • T1059.001 – Command and Scripting Interpreter: PowerShell
    Exécution de scripts PowerShell malveillants via une commande utilisateur.

Persistance / Charge utile

  • T1105 – Ingress Tool Transfer
    Téléchargement de charges supplémentaires (cryptominer, XWorm).
  • T1219 – Remote Access Software
    Déploiement du RAT XWorm pour le contrôle à distance.

Command & Control

  • T1071 – Application Layer Protocol
    Communication avec l’infrastructure C2 du Cosmali Loader.

Impact

  • T1496 – Resource Hijacking
    Cryptominage non autorisé sur les systèmes compromis.
  • T1657 – Financial Theft (potentiel)
    Risques indirects liés au contrôle à distance et à l’abus de ressources.

Recommandations clés

  • Ne jamais exécuter de scripts distants sans en comprendre le contenu.
  • Éviter de retaper manuellement des commandes PowerShell critiques.
  • Tester tout code inconnu dans un sandbox ou une VM isolée.
  • Considérer tout système ayant exécuté la commande frauduleuse comme compromis et procéder à une réinstallation complète.

Il s’agit d’un article de presse spécialisé visant à signaler une campagne d’usurpation de marque et de distribution de malware ciblant les utilisateurs de Windows via un faux site MAS.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/