Um domínio falso de ativação do Windows distribuiu scripts maliciosos em PowerShell.

Ontem, surgiram relatos no Reddit de infecções por malware durante tentativas ilegais de ativação do Windows. De acordo com esses relatos, os atacantes criaram o domínio get.activate.win, que difere por apenas uma letra do domínio de ativação do Windows conhecido, get.activated.win. A suspeita deles se provou correta: alguns usuários foram redirecionados para o domínio falso, o que resultou na infecção de seus PCs com o malware Cosmali Loader.

Fonte da imagem: unsplash.com

O pesquisador de segurança RussianPanda descobriu que os computadores das vítimas estavam infectados com o malware de código aberto Cosmali Loader, uma descoberta confirmada pelo analista de malware Karsten Hahn. De acordo com o RussianPanda, o Cosmali Loader distribuía ferramentas de mineração de criptomoedas e o trojan de acesso remoto (RAT) XWorm.

Os usuários dos computadores infectados receberam a seguinte mensagem: “Você foi infectado com o malware Cosmali Loader porque digitou get.activate.win incorretamente ao ativar o Windows no PowerShell. O painel de controle do malware é inseguro e qualquer pessoa que o visualize terá acesso ao seu computador. Reinstale o Windows e evite esse erro da próxima vez. Como evidência da infecção do seu computador, verifique o Gerenciador de Tarefas em busca de processos estranhos do PowerShell.”

Fonte da imagem: RussianPanda

O autor dessas mensagens de aviso é desconhecido; especialistas acreditam que um pesquisador bem-intencionado obteve acesso ao painel de controle do malware e o utilizou para informar os usuários sobre o ataque. Os criadores do projeto MAS também alertaram os usuários e os aconselharam a verificar os comandos antes de executá-los.

Fonte da imagem: @massgravel

O MAS é um conjunto de scripts PowerShell de código aberto que automatizam a ativação do Microsoft Windows e do Microsoft Office usando ativação por HWID, emulação KMS e diversas soluções alternativas (Ohook, TSforge). O projeto está hospedado no GitHub e é de código aberto. A Microsoft o considera uma ferramenta de pirataria que ativa produtos não licenciados usando métodos não autorizados.

Recomenda-se aos usuários que evitem a execução remota de código, a menos que compreendam totalmente sua finalidade, que sempre testem o software em um ambiente isolado (sandbox) e que evitem reinserir comandos para minimizar o risco de baixar malware perigoso de domínios que exploram erros de digitação. Ativadores não oficiais do Windows têm sido usados ​​repetidamente para distribuir malware, portanto, os usuários devem estar cientes dos riscos e ter cautela ao usar essas ferramentas.

Em março de 2025, foi relatado que o assistente de IA Copilot estava ajudando usuários a ativar o Windows 11 ilegalmente. Ele sugeria scripts de terceiros que ativariam o Windows 11 com apenas alguns cliques. Como era de se esperar, a Microsoft não gostou desse comportamento e, eventualmente, corrigiu as respostas do Copilot a essas solicitações e, em novembro, fechou completamente a brecha.