Windowsの非公式アクティベーションツール「Microsoft Activation Scripts(MAS)」を装ったタイポスクワッティング(typosquatting)攻撃が確認され、誤って偽サイトを利用したユーザーがCosmali Loaderというマルウェアに感染する事例が相次いでいることがわかりました(BleepingComputer)。
具体的な報告はReddit(1、2)で行われています。非常に似通ったドメインを準備し、攻撃を行う手法です。
-
正規の MAS 手順で案内されているドメイン:
get.activated.win -
攻撃者が用意した偽ドメイン:
get.activate[.]win("d"が抜けている)
このわずか1文字の違いを利用し、誤入力したユーザーに対して悪意ある PowerShellスクリプトを配布するという手法です。感染後、以下のようなポップアップ警告が表示されるケースが報告されています。
Cosmali Loader に感染しています。Windows を再インストールしてください…
興味深いことに、この警告は攻撃者ではなく、第三者の研究者がマルウェアの管理パネルにアクセスし、善意で警告しようとしている可能性があると指摘されています。
Cosmali Loader が行うこと
記事によると、このマルウェアは以下のような不正活動を行うことが確認されています:
-
暗号資産マイナーのインストール
-
XWorm RAT(リモートアクセス型トロイ)を展開
-
PowerShell を悪用した持続的な不正実行
MASユーザーが格好の標的に
MASはオープンソースで公開されている一方、Microsoftからは海賊版アクティベーションツールと見なされており、
「非公式ツールを使うユーザーはセキュリティ意識が低い」と攻撃者に判断され、格好の標的になっていると考えられています。
BleepingComputerは以下のような対策を提案しています。
- コマンドを手入力しない(コピペ推奨)
- 不明なリモートスクリプトを実行しない
- サンドボックス環境でテストする
- 非公式アクティベーションツールの利用はリスクを理解した上で行う
今回のような「1文字違いの偽サイト」は非常に見分けにくく、タイポ(入力ミス)だけでマルウェアに感染する時代になっていることが示されています。
