Scoperti domini di attivazione Windows falsi sfruttati per diffondere malware

Una banale disattenzione, un clic fuori posto, ed ecco che la sicurezza informatica di decine di utenti viene compromessa senza nemmeno rendersene conto.

È così che prende il via la recente ondata di infezioni, che ha visto come protagonisti ignari utenti intenti nell’operazione di attivare Windows o Office, convinti di utilizzare il noto strumento Microsoft Activation Scripts. Bastava un piccolo errore di digitazione, inserendo “get.activate[.]win” invece del corretto “get.activated.win”, per cadere nella trappola e spalancare le porte a una minaccia silenziosa ma devastante.

Dietro questa campagna si cela una tecnica tanto semplice quanto efficace: l’utente si trova su un sito che, all’apparenza, sembra legittimo. Scarica lo script di attivazione, ma senza saperlo avvia una sequenza di comandi PowerShell che compromettono l’intero sistema. In pochi istanti, il Cosmali Loader prende il controllo, sfruttando meccanismi di persistenza avanzati per restare annidato nella macchina. Da qui, stabilisce connessioni con server di comando e controllo, scaricando ulteriori payload malevoli. Non è raro che le vittime si accorgano troppo tardi dell’infezione, notando strani popup o processi sospetti tra le attività in background.

Il cuore della truffa: la strategia del typosquatting

Alla base di questa campagna c’è una delle tecniche più insidiose della cybercriminalità: il typosquatting. Registrando domini quasi identici a quelli ufficiali, i malintenzionati sfruttano la rapidità e la disattenzione dell’utente medio. In questo caso, la semplice omissione di una lettera è stata sufficiente a rendere credibile il sito-trappola. L’allarme è stato lanciato tempestivamente dalla community di MAS, che ha riconosciuto il collegamento con Cosmali Loader, un malware open source tristemente noto per distribuire non solo software di mining ma anche pericolosi RAT come XWorm.

Per chi si occupa di sicurezza, riconoscere i segnali d’allarme è fondamentale. Bisogna prestare attenzione a processi PowerShell anomali, connessioni verso domini sospetti e file eseguibili che non appartengono a software ufficialmente installati. Alcuni utenti hanno riferito di aver notato un pannello di controllo del malware: accedervi significa esporsi ulteriormente, mettendo a rischio i dati già compromessi.

La prima raccomandazione degli sviluppatori di MAS è la verifica scrupolosa degli URL prima di scaricare o eseguire qualsiasi script. Solo i canali ufficiali, come i repository GitHub, dovrebbero essere considerati affidabili. In caso di sospetta infezione, è essenziale eseguire una scansione completa del sistema, cambiare tutte le password e, nei casi più gravi, procedere con un ripristino da backup o una reinstallazione totale. Aggiornare le soluzioni antivirus e utilizzare strumenti di rilevamento comportamentale sono misure imprescindibili per contenere i danni.