MAS: Malware durch Rechtschreibfehler bei Windows-Hack
Einige Nutzer der Microsoft Activation Scripts (MAS) haben sich auf Reddit(öffnet im neuen Fenster) über eine seltsame Fehlermeldung geäußert: Sie schreiben, dass ihr System durch einen Tippfehler in Powershell mit dem "Cosmali Loader" infiziert worden sei. Die Angreifer nutzen demnach einen sehr ähnlichen Domainnamen dafür, also typisches sogenanntes Typosquatting.
MAS weit verbreitet
Mit MAS lassen sich Windows- und Office-Produkte auch ohne gültige Lizenz aktivieren. Das ist illegal, auch wenn selbst der Microsoft Support laut Berichten davon Gebrauch macht. Eine Option, die Skripte zu aktivieren, ist, die korrekte Domain (get.activated.win) in der Powershell anzusteuern. Doch genau hier kommt die Schadsoftware ins Spiel.
Durch ein fehlendes "d" in "activated" erreichten die Nutzer laut den Berichten eine Domain, die den Rechner mit Schadsoftware verseuchte. Dabei soll es sich um den "Cosmali Loader" handeln, der umfassenden und weitgehend unbemerkten Zugriff auf die betroffenen Systeme ermöglicht.
Malware meldete sich selbst
Dabei machte die Schadsoftware paradoxerweise auf sich selbst aufmerksam. Grund dafür könnte sein, dass Dritte Zugriff auf die Infrastruktur der Hacker erhalten haben. So könnten sie über den Cosmali Loader Warnungen auf kompromittierte Systeme verschickt haben.
In diesen Warnungen heißt es, dass das System durch den genannten Virus verseucht sei, da der Nutzer sich bei der Domain der MAS vertippt habe. Die Nachricht empfiehlt demnach eine Neuinstallation von Windows. Auch die Betreiber des MAS-Projekts warnen auf X(öffnet im neuen Fenster) vor der falschen Domain und weisen darauf hin, Eingaben in der Powershell vor dem Ausführen genau zu prüfen.