偽のWindowsアクティベーションドメインがPowerShellマルウェア拡散に使われている

WindowsやMicrosoft Officeのライセンス認証ができるというオープンソースツール「Microsoft Activation Scripts(MAS)」で、アクティベーションに利用しているドメインにそっくりな名前を用いたタイポスクワッティングにより、悪意あるPowerShellスクリプトでマルウェアに感染させられる被害が出ていることが明らかになりました。

Fake MAS Windows activation domain used to spread PowerShell malware
https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/

セキュリティ関連メディアのBleepingComputerによると、複数のMASユーザーの環境で、マルウェアの「Cosmali Loader」に感染したというポップアップ通知が表示されているとのこと。

Redditユーザーのmunnybear氏は「Cosmali Loaderに感染した」という警告メッセージが表示されたとして、Redditで助けを求めています。

Cosmali Loaderに感染した際に表示されるという警告メッセージが以下。

「至急お読みください。あなたは『cosmali loader』と呼ばれるマルウェアに感染しました。これは、PowerShellでWindowsをアクティベートする際に、『get.activated.win』を『get.activate.win』と誤って入力したためです。このマルウェアの管理パネルは安全ではなく、それを閲覧している誰もがあなたのコンピューターにアクセスできます。Windowsを再インストールし、次回は同じ間違いをしないでください。コンピューターが感染している証拠として、タスクマネージャーを確認し、不審なPowerShellプロセスを探してください。」

セキュリティ研究者のRussianPanda氏は、この通知がオープンソースのマルウェアであるCosmali Loaderに関連しており、マルウェアアナリストのカーステン・ハーン氏が発見したポップアップ通知と同種のものである可能性があると指摘しています。

RussianPanda氏によれば、Cosmali Loaderは仮想通貨マイニングユーティリティと、リモートアクセス型のトロイの木馬であるXWormを配信するマルウェアだとのこと。

ただ、munnybear氏が確認した警告メッセージはマルウェアによって表示されたものではなく、BleepingComputerは「善意の研究者がマルウェアのコントロールパネルにアクセスし、ユーザーに対する警告を表示するようにした可能性がある」と推測指摘しています。

なお、MAS公式も偽のアクティベーションドメインを使用するとマルウェアがインストールされてしまうことをX上で警告済みです。

ちなみに、MicrosoftはMASを「ライセンスを購入せずに製品をアクティベートする海賊版ツール」とみなしています。