Cosmali Loader木马仿冒域名攻击:输入错误即被控,用户需警惕
12月25日,据技术资讯披露,近期发生了一起利用域名仿冒手段实施的网络攻击事件。攻击者注册了一个与合法域名高度相似的虚假域名,诱导用户访问伪造的站点,进而传播名为“Cosmali Loader”的恶意程序。该行为主要针对使用特定脚本进行系统激活的用户群体。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
原服务是一个开源的自动化工具,主要用于管理系统及办公软件的授权状态,其最新域名为“get.activated.win”。攻击者注册的域名则为“get.activate.win”,仅少了一个字母“d”,外观上极易混淆。这种手法属于典型的“域名拼写错误劫持”,常利用用户在命令行环境中手动输入时可能出现的疏漏。
当用户误访该伪造站点并执行相关指令后,系统不会运行正常的激活流程,而是自动下载并执行一段恶意PowerShell代码。该代码会进一步加载“Cosmali Loader”载荷,实现持久化驻留和远程控制能力。
近日,多个技术论坛中陆续有用户反映设备异常:屏幕上突然弹出一条明确提示,指出其因输入错误网址而感染病毒,并警告“当前恶意软件的控制面板处于公开状态,任何人都可接入你的设备”。信息末尾建议立即重装操作系统以清除威胁。
经安全人员调查,此类弹窗并非攻击者所发的勒索声明,而极有可能出自一位未具名的安全研究者之手。该人士在发现恶意程序后台存在访问漏洞后,获取了部分控制权限,并反向利用通信通道向所有已识别的受控设备推送了安全警告。
尽管这一提醒具有正面作用,但不可因此低估该恶意软件本身的危险性。分析表明,“Cosmali Loader”具备模块化特征,主要用于分发两类后续载荷:一是隐蔽运行的加密货币挖矿程序,大量占用计算资源,导致设备性能显著下降;二是名为XWorm的远程访问木马,能够赋予攻击者对受感染系统的完全操控权,包括文件窃取、键盘记录、屏幕监控以及下发额外恶意指令等操作。
目前,相关技术社区已加强对此类仿冒行为的警示,建议用户在执行命令时仔细核对域名拼写,优先通过可信渠道获取脚本工具,并启用必要的安全防护措施以降低风险。
热门专题
热门推荐
目录 1 从冷门到日均 $2M 的独立赛道 2 这其实是一个短期期权市场 3 极致的精准博弈:为何 0 79% 的价差里藏着大机会? 4 抓住订单簿里的僵尸红利 5 大神模板:拆解 VibeTrader 的包围网打法 6 交易者实操指南:如何寻找你的 Edge? 本文导读 Polymar
别再瞎选 GEO 工具了!2026 年这 4 款软件亲测好用 投入大把预算做营销,结果客户在AI里一搜,发现的全是对手的信息——这种尴尬,不少品牌都遇到过吧?根据《GEO全域流量协同打造品牌增长超级引擎》白皮书,GEO作为优化AI模型答案的关键策略,眼下正成为驱动品牌增长的超级引擎。那么,市面上哪些
敦煌网究竟怎么样?深度解析这个跨境电商平台的真实面貌 谈到中国跨境电商,敦煌网绝对是一个绕不开的名字。它高频出现在各种出海讨论中,但伴随的疑问也不少:这个平台到底靠不靠谱?为买卖双方带来了什么价值?今天,我们就抛开笼统的宣传,从几个关键维度,把敦煌网的里里外外梳理清楚。 平台优势:不止于“大而全”
擒贼先擒王:《军团再临Remix》关键任务实战解析 在《魔兽世界:军团再临Remix》中,“擒贼擒王”算得上是一个标志性的挑战。它不仅考验玩家个人的战斗技巧,更是一场对团队协作与战术理解的综合测试。想要在这场狩猎中取胜,拿到丰厚的经验、金币和装备奖励,有些门道你得先摸清楚。 魔兽世界军团再临remi
潜力与体验升级下的商业转型样本 实体商业的客流焦虑,早已不是什么新鲜话题。但就在这片略显沉寂的土壤上,一个意想不到的“客流发动机”正在轰鸣运转——专业室内真人CS品牌镭战大联盟(GLSA)。你或许很难想象,周末早晨十点,在上海五角场万达广场的店里,已经能看到家长带着孩子在前台排队。门店教官的反馈更直