Soxta Windows faollashtirish domeni orqali Cosmali Loader zararli dasturi tarqatilmoqda
So‘nggi paytlarda Windows operatsion tizimini faollashtirish bilan bog‘liq navbatdagi kiberxavfsizlik tahdidi aniqlandi. Foydalanuvchilar orasida mashhur bo‘lgan Microsoft Activation Scripts (MAS) vositasini niqob sifatida qo‘llagan soxta domen orqali Windows tizimlariga Cosmali Loader nomli zararli dastur tarqatilgani ma’lum bo‘ldi.
Mazkur hujum sxemasi foydalanuvchilarning e’tiborsizligidan, xususan, PowerShell buyruqlarini kiritish jarayonidagi oddiy imlo xatosidan foydalanishga asoslangan.
Hujum qanday amalga oshirilgan?
Mazkur holat haqida dastlab Reddit foydalanuvchilari xabar bergan. Ularning kompyuterlarida kutilmaganda paydo bo‘lgan qalbaki ogohlantirish oynalari tizim Cosmali Loader bilan zararlanganini ma’lum qilgan. Eng qizig‘i shundaki, bu xabarlarda zararlanish sababi ham aniq ko‘rsatilgan — Windows’ni faollashtirishda noto‘g‘ri domen nomi kiritilgan.
Asl MAS loyihasida foydalaniladigan ishonchli domen:
get.activated.win
Hujumchilar esa unga juda o‘xshash bo‘lgan quyidagi soxta domenni ishga tushirgan:
get.activate[.]win
Aynan shu bitta harf yetishmasligi foydalanuvchilarning Windows tizimiga zararli PowerShell skriptlari yuklanishiga sabab bo‘lgan.
Cosmali Loader va uning xavfi
Tadqiqotchi RussianPanda tomonidan olib borilgan tahlillarga ko‘ra, ushbu soxta domen orqali Cosmali Loader deb nomlangan ochiq kodli malware yuklagichi tarqatilgan. Avvalroq ushbu zararli dastur GDATA kompaniyasi tahlilchisi Karsten Hahn tomonidan ham o‘rganilgan.
Cosmali Loader orqali zararlangan tizimlarga quyidagi tahdidlar yetkazilgan:
- kriptomaynerlar (kompyuter resurslaridan yashirin foydalanish);
- XWorm masofadan boshqariluvchi trojan (RAT);
- tizim ustidan to‘liq nazorat o‘rnatish imkoniyati.
Bu esa foydalanuvchilarning shaxsiy ma’lumotlari, fayllari va hatto tarmoqdagi boshqa qurilmalar xavfsizligiga jiddiy tahdid tug‘diradi.
G‘alati ogohlantirishlar ortidagi sir
E’tiborga molik jihat shundaki, ayrim foydalanuvchilarga yuborilgan qalbaki xabarlarda ularni Windows’ni qayta o‘rnatishga chaqiruvchi va Task Manager orqali PowerShell jarayonlarini tekshirishni tavsiya qiluvchi matnlar mavjud bo‘lgan.
Mutaxassislar taxminiga ko‘ra, bu ogohlantirishlar Cosmali Loader’ning boshqaruv paneliga (C&C) noqonuniy kirish imkoniga ega bo‘lgan noma’lum kiberxavfsizlik tadqiqotchisi tomonidan yuborilgan bo‘lishi mumkin. U ehtimoliy qurbonlarni xabardor qilishni maqsad qilgan.
MAS loyihasi va Microsoft pozitsiyasi
MAS (Microsoft Activation Scripts) — bu Windows va Office mahsulotlarini faollashtirishni avtomatlashtiruvchi ochiq kodli PowerShell skriptlar to‘plami bo‘lib, u Massgrave hamjamiyati tomonidan GitHub’da qo‘llab-quvvatlanadi. Ushbu vosita HWID-aktivatsiya, KMS emulyatsiyasi, Ohook va TSforge kabi mexanizmlardan foydalanadi.
Biroq Microsoft MAS’ni piratlik vositasi deb hisoblaydi va u mahsulotlarni litsenziyasiz faollashtirishga xizmat qiladi. Shunga qaramay, GitHub platformasi hozircha ushbu loyihani olib tashlamagan, ammo Microsoft so‘nggi vaqtlarda Windows KMS-faollashtirish usullariga qarshi faol choralar ko‘rmoqda.
Massgrave jamoasining ogohlantirishi
Massgrave jamoasi foydalanuvchilarni get.activate[.]win domeni xavfli ekanligi haqida rasman ogohlantirdi va PowerShell buyruqlarini bajarishdan oldin ularni bir necha bor tekshirishga chaqirdi.
Xulosa va tavsiyalar
Ushbu hodisa oddiy texnik xatolik — bitta noto‘g‘ri kiritilgan harf ham jiddiy kiberxavfsizlik muammolariga olib kelishi mumkinligini yaqqol ko‘rsatadi. Ayniqsa, rasmiy bo‘lmagan faollashtirish vositalaridan foydalanish foydalanuvchilarni yuqori xavf ostida qoldiradi.
Mutaxassislar quyidagilarni tavsiya qiladi:
- faqat litsenziyalangan va rasmiy dasturiy ta’minotdan foydalanish;
- PowerShell buyruqlarini bajarishda manbani va domen nomlarini sinchiklab tekshirish;
- antivirus va EDR vositalarini doimiy yangilab borish;
- noma’lum skriptlarni administrator huquqi bilan ishga tushirmaslik.
Mazkur voqea yana bir bor shuni isbotlaydiki, kiberxavfsizlikda eng zaif bo‘g‘in — bu ko‘pincha inson omilidir.
