深度观察网2025年12月25日 14:37消息,黑客利用域名抢注设陷阱,用户少输d字导致电脑变矿机。
12月25日消息,科技媒体bleepingcomputer昨日(12月24日)发布文章指出,近期有攻击者利用“域名抢注”方式,搭建了一个与知名微软激活脚本(MAS)高度相似的虚假网站,仅通过一个字母的拼写差异(缺少“d”)诱导用户下载名为“CosmaliLoader”的恶意软件。 此类网络钓鱼手段再次凸显了用户在面对看似正规的链接时需保持高度警惕。尽管技术细节可能复杂,但核心问题在于用户对域名的细微差别缺乏敏感度,这为不法分子提供了可乘之机。类似事件提醒我们,提升网络安全意识、定期更新防护措施以及谨慎对待陌生链接,是防范此类攻击的关键。
注:MAS本身是一个在GitHub上开源的脚本集合,用于绕过微软的许可验证以激活Windows和Office,其官网地址为“get.activated.win”。而攻击者精心构造了一个名为“get.activate.win”的恶意域名,与官方域名仅相差一个字母“d”。
攻击者采用“域名抢注”的手段,利用用户在PowerShell中手动输入命令时容易出现的拼写错误进行攻击。当用户不慎访问了被篡改的伪造域名后,系统将无法执行正常的激活流程,而是强制下载并运行恶意的PowerShell脚本,进而导致“CosmaliLoader”病毒的下载与执行。
近日,Reddit社区中出现大量用户反馈,称自己的电脑突然弹出一条奇怪的警告信息。该弹窗直接指出用户因输入错误网址而感染了恶意软件,并警告称“恶意软件面板不安全,任何人都可以访问你的电脑”,最后建议用户立即重新安装Windows系统。
安全研究人员RussianPanda调查发现,这并非攻击者发出的勒索信息,极有可能是一位“白帽”安全专家发现了该恶意软件控制后台的漏洞,在获得访问权限后,通过该渠道向所有已感染的受害者发送了风险提示信息。
尽管有人已发出善意警告,但“CosmaliLoader”所造成的威胁依然不容忽视。据分析,这款恶意软件主要负责投放两种类型的载荷:一是加密货币挖矿工具,会悄悄占用系统资源,导致电脑运行缓慢;二是名为XWorm的远程访问木马(RAT)。XWorm让攻击者能够完全控制受害设备,进而窃取敏感信息、监控用户活动,甚至部署更多恶意程序。 从信息安全的角度来看,这类恶意软件的出现反映出网络攻击手段正日趋复杂和隐蔽。企业与个人用户都应提高警惕,加强系统防护,及时更新安全补丁,并对可疑行为保持高度敏感。面对不断演变的网络威胁,防御措施必须同步升级,才能有效遏制潜在风险。
