12月25日,据技术资讯披露,近期发生了一起利用域名仿冒手段实施的网络攻击事件。攻击者注册了一个与合法域名高度相似的虚假域名,诱导用户访问伪造的站点,进而传播名为“Cosmali Loader”的恶意程序。该行为主要针对使用特定脚本进行系统激活的用户群体。
原服务是一个开源的自动化工具,主要用于管理系统及办公软件的授权状态,其最新域名为“get.activated.win”。攻击者注册的域名则为“get.activate.win”,仅少了一个字母“d”,外观上极易混淆。这种手法属于典型的“域名拼写错误劫持”,常利用用户在命令行环境中手动输入时可能出现的疏漏。
当用户误访该伪造站点并执行相关指令后,系统不会运行正常的激活流程,而是自动下载并执行一段恶意PowerShell代码。该代码会进一步加载“Cosmali Loader”载荷,实现持久化驻留和远程控制能力。
近日,多个技术论坛中陆续有用户反映设备异常:屏幕上突然弹出一条明确提示,指出其因输入错误网址而感染病毒,并警告“当前恶意软件的控制面板处于公开状态,任何人都可接入你的设备”。信息末尾建议立即重装操作系统以清除威胁。
经安全人员调查,此类弹窗并非攻击者所发的勒索声明,而极有可能出自一位未具名的安全研究者之手。该人士在发现恶意程序后台存在访问漏洞后,获取了部分控制权限,并反向利用通信通道向所有已识别的受控设备推送了安全警告。
尽管这一提醒具有正面作用,但不可因此低估该恶意软件本身的危险性。分析表明,“Cosmali Loader”具备模块化特征,主要用于分发两类后续载荷:一是隐蔽运行的加密货币挖矿程序,大量占用计算资源,导致设备性能显著下降;二是名为XWorm的远程访问木马,能够赋予攻击者对受感染系统的完全操控权,包括文件窃取、键盘记录、屏幕监控以及下发额外恶意指令等操作。
目前,相关技术社区已加强对此类仿冒行为的警示,建议用户在执行命令时仔细核对域名拼写,优先通过可信渠道获取脚本工具,并启用必要的安全防护措施以降低风险。
