Microsoft Activation Scriptsは、WindowsおよびOfficeのアクティベーションツールです。
Microsoftの公式のツールではなく、オープンソースのツールです。
本家であるMicrosoftとしてはこのツールは海賊版アクティベーションツールとみているということです。
しかし多くの利用者がこのツールを利用していると考えられ、ある領域ではよく知られているツールです。
このツールの周辺で、マルウェアが送り込まれる事例が多く確認されています。
- Typosquatting
Typosquattingから始まります。
Microsoft Activation Scriptsを使用するユーザは、Microsoft Activation Scriptsをサービス提供しているWebサイトを訪問します。
通常そのサイトのURLは、「get.activated.win」です。
Microsoft Activation Scriptsそのものが褒められたものではないこともあることが関係するのでしょうか、このサイトを訪問する際には、利用者は手動でURLを入力することが少なくないと考えられます。
誤って「get.activate[.]win」と入力すると、想定するURLではないわけなのですが、Microsoft Activation Scriptsのようなコンテンツが端末に表示されます。 - 自分で感染
Typosquattingで「get.activate[.]win」を閲覧すると、Microsoft Activation Scriptsの提供物のようなものを入手できます。
もともとのMicrosoft Activation Scriptsの提供物は各種機能を有するPowerShellスクリプト集です。
このTyposquattingのサイトでも、同じように各種機能を有するPowerShellスクリプトを入手することができます。
オリジナルのMicrosoft Activation Scriptsで入手したPowerShellスクリプトを使用する場合、Microsoft WindowsやMicrosoft Officeのアクティベーションを実行することができることになるのですが、このTyposquattingのサイトで入手したスクリプトの場合は、実行するとマルウェアを入手してしまいます。 - Cosmali Loader
手元に入ってくるのはCosmali Loaderです。
Cosmali Loaderは、マルウェアローダです。
このマルウェアローダはいくつかの残念な機能を提供します。- 暗号資産マイナーのインストール
- XWorm RAT(リモートアクセス型トロイ)の展開
- PowerShellを悪用した持続的な不正実行
Microsoft WindowsやMicrosoft Officeは商用製品です。
正規の利用のためにはライセンス費用を支払う必要があります。
その正規の行動とは別の無償でアクティベーションしようとする行動が、別の結果につながっています。
悪いことをしようとしたら悪いことをされていた、という感じでしょうか。
Told i have been infected by a malware called “Cosmali Loader”?
https://www.reddit.com/r/MAS_Activator/comments/1ptcqp1/told_i_have_been_infected_by_a_malware_called/
| この記事をシェア |
|
|---|
