文章总结： 攻击者通过域名抢注建立虚假Win11激活网站，诱导用户下载CosmaliLoader恶意软件。该恶意软件会部署加密货币挖矿工具及XWorm远控木马，窃取数据并控制设备。虽已有白帽利用后台漏洞发出重装警告，但该攻击利用拼写差异隐蔽性强，用户需仔细核对官方域名。 综合评分： 86 文章分类： 恶意软件,威胁情报,安全意识

【安全圈】黑客伪装设置 Win11 激活脚本陷阱，用户少输“ d ”字电脑变矿机

安全圈

2025年12月25日 19:00 江苏

关键词

恶意软件

科技媒体 bleepingcomputer 昨日（12 月 24 日）发布博文，报道称攻击者近期利用 ” 域名抢注 ” 手段，建立了一个与知名微软激活脚本（MAS）极度相似的虚假网站，仅通过一个字母的拼写差异（缺少 “d”）诱导用户下载 “Cosmali Loader” 恶意软件。

注：MAS 本身是一个在 GitHub 上开源的脚本集，用于绕过微软的许可验证来激活 Windows 和 Office，官网地址为 “get.activated.win”。而攻击者精心设计了一个名为 “get.activate.win” 的恶意域名，两者仅相差一个字母 “d”。

攻击者利用了 ” 域名抢注 ” 方式，即用户在 PowerShell 中手动输入命令时容易产生拼写错误发起攻击。一旦用户误入该伪造域名，系统将不会执行正常的激活程序，而是被强制下载并运行恶意 PowerShell 脚本，进而下载和运行 “Cosmali Loader” 病毒。

Reddit 社区近日出现大量用户反馈，称电脑突然弹出一条离奇的警告信息。弹窗直白地指出用户因输错网址而感染了恶意软件，并警告称 ” 恶意软件面板不安全，任何人都能访问你的电脑 “，最后建议用户立即重装 Windows 系统。

安全研究人员 RussianPanda 调查发现，这并非攻击者的勒索信，极可能是一位 ” 白帽 ” 研究人员发现了该恶意软件控制后台的漏洞，在获取权限后，利用该通道向所有已感染的受害者发送了善意的风险提示。

尽管有人发出了善意警告，但 “Cosmali Loader” 的危害不容小觑。据分析，该恶意软件主要负责投放两类载荷：一是加密货币挖矿工具，会暗中消耗系统资源导致电脑卡顿；二是名为 XWorm 的远程访问木马（RAT）。XWorm 赋予了攻击者对受害系统的完全控制权，使其能够窃取敏感数据、监控用户行为甚至执行更多恶意指令。

END

阅读推荐

【安全圈】NVIDIA高危漏洞（CVE-2025-33222/33223/33224）可致AI系统完全沦陷

【安全圈】n8n 高危漏洞致数千实例面临任意代码执行风险

【安全圈】索尼PSN账号系统曝致命漏洞，双重验证形同虚设

【安全圈】“黄播”涌入快手，平台网络安全体系缘何失控？

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客伪装设置 Win11 激活脚本陷阱，用户少输“ d ”字电脑变矿机》