2025年12月26日 12時13分 セキュリティ

偽のWindowsアクティベーションドメインがPowerShellマルウェア拡散に使われている



WindowsやMicrosoft Officeのライセンス認証ができるというオープンソースツール「Microsoft Activation Scripts(MAS)」で、アクティベーションに利用しているドメインにそっくりな名前を用いたタイポスクワッティングにより、悪意あるPowerShellスクリプトでマルウェアに感染させられる被害が出ていることが明らかになりました。



Fake MAS Windows activation domain used to spread PowerShell malware

https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/





セキュリティ関連メディアのBleepingComputerによると、複数のMASユーザーの環境で、マルウェアの「Cosmali Loader」に感染したというポップアップ通知が表示されているとのこと。





Redditユーザーのmunnybear氏は「Cosmali Loaderに感染した」という警告メッセージが表示されたとして、Redditで助けを求めています。



Cosmali Loaderに感染した際に表示されるという警告メッセージが以下。



「至急お読みください。あなたは『cosmali loader』と呼ばれるマルウェアに感染しました。これは、PowerShellでWindowsをアクティベートする際に、『get.activated.win』を『get.activate.win』と誤って入力したためです。このマルウェアの管理パネルは安全ではなく、それを閲覧している誰もがあなたのコンピューターにアクセスできます。Windowsを再インストールし、次回は同じ間違いをしないでください。コンピューターが感染している証拠として、タスクマネージャーを確認し、不審なPowerShellプロセスを探してください。」





セキュリティ研究者のRussianPanda氏は、この通知がオープンソースのマルウェアであるCosmali Loaderに関連しており、マルウェアアナリストのカーステン・ハーン氏が発見したポップアップ通知と同種のものである可能性があると指摘しています。



Multiple users are reporting messages like this one.

Seems someone has hacked a malware C2https://t.co/bklonSXyy0 pic.twitter.com/Xhoj9v7aqJ — Karsten Hahn (@struppigel) December 23, 2025



RussianPanda氏によれば、Cosmali Loaderは仮想通貨マイニングユーティリティと、リモートアクセス型のトロイの木馬であるXWormを配信するマルウェアだとのこと。





ただ、munnybear氏が確認した警告メッセージはマルウェアによって表示されたものではなく、BleepingComputerは「善意の研究者がマルウェアのコントロールパネルにアクセスし、ユーザーに対する警告を表示するようにした可能性がある」と推測指摘しています。



なお、MAS公式も偽のアクティベーションドメインを使用するとマルウェアがインストールされてしまうことをX上で警告済みです。



A typo-squatting campaign was found on the domain "get[.]activate[.]win" (notice the missing "d"), used to install a remote script-loading trojan.



Please take extra care to verify the commands you type before running them, or download the MAS AIO script from our GitHub. — MAS (@massgravel) December 23, 2025



ちなみに、MicrosoftはMASを「ライセンスを購入せずに製品をアクティベートする海賊版ツール」とみなしています。

