⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um domínio typosquatted que representa a ferramenta Microsoft Activation Scripts (MAS) foi usado para distribuir scripts maliciosos do PowerShell que infectam sistemas Windows com o 'Cosmali Loader'.
O BleepingComputer descobriu que vários usuários do MAS começaram a relatar no Reddit [1, 2] ontem que receberam avisos pop-up em seus sistemas sobre uma infecção pelo Cosmali Loader.
Você foi infectado por um malware chamado 'cosmali loader' porque digitou incorretamente 'get.activated.win' como 'get.activate[.]win' ao ativar o Windows no PowerShell.
O painel do malware é inseguro e todos que o visualizam têm acesso ao seu computador.
Reinstale o Windows e não cometa o mesmo erro da próxima vez.
Para provar que seu computador está infectado, verifique o Gerenciador de Tarefas e procure por processos estranhos do PowerShell.
Com base nos relatórios, os invasores criaram um domínio semelhante, "get.activate[.]win", que se parece muito com o domínio legítimo listado nas instruções oficiais de ativação do MAS, "get.activated.win".
Dado que a diferença entre os dois é um único caractere (“d”), os invasores apostam que os usuários digitam incorretamente o domínio.
Mensagem de avisoFonte: RussianPanda
O pesquisador de segurança RussianPanda descobriu que as notificações estão relacionadas ao malware de código aberto Cosmali Loader e podem estar relacionadas a notificações pop-up semelhantes detectadas pelo analista de malware da GDATA, Karsten Hahn.
RussianPanda disse ao BleepingComputer que o Cosmali Loader forneceu utilitários de criptografia e o trojan de acesso remoto (RAT) XWorm.
Embora não esteja claro quem enviou as mensagens de aviso aos usuários, é provável que um pesquisador bem-intencionado tenha obtido acesso ao painel de controle do malware e o tenha usado para informar os usuários sobre o comprometimento.
MAS é uma coleção de scripts PowerShell de código aberto que automatiza a ativação do Microsoft Windows e Microsoft Office usando ativação HWID, emulação KMS e vários desvios (Ohook, TSforge).
O projeto está hospedado no GitHub e é mantido abertamente. No entanto, a Microsoft vê isso como uma ferramenta de pirataria que ativa produtos sem licença adquirida usando métodos não autorizados que contornam seu sistema de licenciamento.
Os mantenedores do projeto também alertaram os usuários sobre a campanha e os incentivaram a verificar os comandos que digitam antes de executá-los.
Recomenda-se que os usuários evitem executar código remoto se não entenderem completamente o que ele faz, sempre testem em uma sandbox e evitem redigitar comandos para minimizar o risco de obter cargas perigosas de domínios com erros de digitação.
Ativadores não oficiais do Windows têm sido usados repetidamente para entrega de malware, portanto, os usuários precisam estar cientes dos riscos e ter cuidado ao usar essas ferramentas.
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem acompanhar as demandas modernas, exemplos de como é um IAM "bom" e uma lista de verificação simples para construir uma estratégia escalável.
Obtenha o guia
O BleepingComputer descobriu que vários usuários do MAS começaram a relatar no Reddit [1, 2] ontem que receberam avisos pop-up em seus sistemas sobre uma infecção pelo Cosmali Loader.
Você foi infectado por um malware chamado 'cosmali loader' porque digitou incorretamente 'get.activated.win' como 'get.activate[.]win' ao ativar o Windows no PowerShell.
O painel do malware é inseguro e todos que o visualizam têm acesso ao seu computador.
Reinstale o Windows e não cometa o mesmo erro da próxima vez.
Para provar que seu computador está infectado, verifique o Gerenciador de Tarefas e procure por processos estranhos do PowerShell.
Com base nos relatórios, os invasores criaram um domínio semelhante, "get.activate[.]win", que se parece muito com o domínio legítimo listado nas instruções oficiais de ativação do MAS, "get.activated.win".
Dado que a diferença entre os dois é um único caractere (“d”), os invasores apostam que os usuários digitam incorretamente o domínio.
Mensagem de avisoFonte: RussianPanda
O pesquisador de segurança RussianPanda descobriu que as notificações estão relacionadas ao malware de código aberto Cosmali Loader e podem estar relacionadas a notificações pop-up semelhantes detectadas pelo analista de malware da GDATA, Karsten Hahn.
RussianPanda disse ao BleepingComputer que o Cosmali Loader forneceu utilitários de criptografia e o trojan de acesso remoto (RAT) XWorm.
Embora não esteja claro quem enviou as mensagens de aviso aos usuários, é provável que um pesquisador bem-intencionado tenha obtido acesso ao painel de controle do malware e o tenha usado para informar os usuários sobre o comprometimento.
MAS é uma coleção de scripts PowerShell de código aberto que automatiza a ativação do Microsoft Windows e Microsoft Office usando ativação HWID, emulação KMS e vários desvios (Ohook, TSforge).
O projeto está hospedado no GitHub e é mantido abertamente. No entanto, a Microsoft vê isso como uma ferramenta de pirataria que ativa produtos sem licença adquirida usando métodos não autorizados que contornam seu sistema de licenciamento.
Os mantenedores do projeto também alertaram os usuários sobre a campanha e os incentivaram a verificar os comandos que digitam antes de executá-los.
Recomenda-se que os usuários evitem executar código remoto se não entenderem completamente o que ele faz, sempre testem em uma sandbox e evitem redigitar comandos para minimizar o risco de obter cargas perigosas de domínios com erros de digitação.
Ativadores não oficiais do Windows têm sido usados repetidamente para entrega de malware, portanto, os usuários precisam estar cientes dos riscos e ter cuidado ao usar essas ferramentas.
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem acompanhar as demandas modernas, exemplos de como é um IAM "bom" e uma lista de verificação simples para construir uma estratégia escalável.
Obtenha o guia
#samirnews #samir #news #boletimtec #domínio #de #ativação #falso #do #mas #windows #usado #para #espalhar #malware #do #powershell
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário