Microsoft Etkinleştirme Komut Dosyaları (MAS) aracını taklit eden yazım hatası yapılmış bir alan adı, ‘Cosmali Yükleyici’ ile Windows sistemlerine bulaşan kötü amaçlı PowerShell komut dosyalarını dağıtmak için kullanıldı.
BleepingComputer, birden fazla MAS kullanıcısının Reddit’te raporlama yapmaya başladığını tespit etti [1, 2] dün sistemlerinde Cosmali Loader enfeksiyonuna ilişkin açılır uyarılar aldıklarını söylediler.
‘get.actived.win’i ‘get.activate’ olarak yanlış yazdığınız için ‘cosmali loader’ adı verilen bir kötü amaçlı yazılımdan etkilendiniz[.]PowerShell’de Windows’u etkinleştirirken kazanıyorsunuz.
Kötü amaçlı yazılımın paneli güvenli değildir ve onu görüntüleyen herkesin bilgisayarınıza erişimi vardır.
Windows’u yeniden yükleyin ve bir dahaki sefere aynı hatayı yapmayın.
Bilgisayarınıza virüs bulaştığının kanıtı için Görev Yöneticisini kontrol edin ve tuhaf PowerShell işlemlerini arayın.
Raporlara göre saldırganlar benzer bir alan adı olan “get.activate” kurdular[.]resmi MAS aktivasyon talimatlarında listelenen meşru olan “get.actived.win”e çok benziyor.
İkisi arasındaki farkın tek bir karakter (“d”) olduğu göz önüne alındığında, saldırganlar kullanıcıların alan adını yanlış yazmaları üzerine bahse girerler.
Güvenlik araştırmacısı RussianPanda, bildirimlerin açık kaynaklı Cosmali Loader kötü amaçlı yazılımıyla ilgili olduğunu ve GDATA kötü amaçlı yazılım analisti Karsten Hahn tarafından tespit edilen benzer açılır bildirimlerle ilişkili olabileceğini keşfetti.
RussianPanda, BleepingComputer’a Cosmali Loader’ın kripto madencilik araçları ve XWorm uzaktan erişim truva atını (RAT) sağladığını söyledi.
Uyarı mesajlarını kullanıcılara kimin ilettiği belli olmasa da, iyi niyetli bir araştırmacının kötü amaçlı yazılım kontrol paneline erişim sağladığı ve bunu kullanıcıları güvenlik açığı konusunda bilgilendirmek için kullandığı muhtemeldir.
MAS, HWID aktivasyonu, KMS emülasyonu ve çeşitli bypass’ları (Ohook, TSforge) kullanarak Microsoft Windows ve Microsoft Office’in etkinleştirilmesini otomatikleştiren açık kaynaklı bir PowerShell komut dosyaları koleksiyonudur.
Proje GitHub’da barındırılıyor ve açık bir şekilde sürdürülüyor. Ancak Microsoft bunu, lisans sistemini atlatan yetkisiz yöntemler kullanarak ürünleri satın alınan bir lisans olmadan etkinleştiren bir korsanlık aracı olarak görüyor.
Projenin yürütücüleri ayrıca kampanya kullanıcılarını uyararak, yazdıkları komutları çalıştırmadan önce kontrol etmelerini istedi.
.png)
Kullanıcıların, ne yaptığını tam olarak anlamadıkları takdirde uzaktan kod çalıştırmaktan kaçınmaları, her zaman bir sanal alanda test yapmaları ve yazım hatası yapılmış alanlardan tehlikeli yüklerin getirilmesi riskini en aza indirmek için komutları yeniden yazmaktan kaçınmaları önerilir.
Resmi olmayan Windows etkinleştiricileri kötü amaçlı yazılım dağıtımı için defalarca kullanıldı, bu nedenle kullanıcıların bu tür araçları kullanırken risklerin farkında olması ve dikkatli olması gerekir.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.