(https://www.bleepstatic.com/content/hl-images/2025/11/11/Windows_11.jpg)
Un dominio con un nombre similar al de la herramienta Microsoft Activation Scripts (MAS), creado mediante la técnica de typosquatting, se utilizó para distribuir scripts maliciosos de PowerShell que infectan los sistemas Windows con el malware 'Cosmali Loader'.
BleepingComputer ha descubierto que varios usuarios de MAS comenzaron a informar ayer en Reddit que recibieron advertencias emergentes en sus sistemas sobre una infección de Cosmali Loader.
"Ha sido infectado por un malware llamado 'Cosmali Loader' debido a que escribió incorrectamente 'get.activated.win' como 'get.activate[.]win' al activar Windows en PowerShell.
El panel del malware es inseguro y cualquiera que lo vea tiene acceso a tu ordenador.
Reinstala Windows y no cometas el mismo error la próxima vez.
Para comprobar si tu ordenador está infectado, abre el Administrador de tareas y busca procesos de PowerShell sospechosos."
Mensaje de advertencia
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/pop-up.jpg)
Según los informes, los atacantes han creado un dominio falso, "get.activate[.]win", que se parece mucho al dominio legítimo que aparece en las instrucciones oficiales de activación de MAS, "get.activated.win".
Dado que la diferencia entre ambos es solo un carácter ("d"), los atacantes confían en que los usuarios se equivoquen al escribir el dominio.
El investigador de seguridad RussianPanda descubrió que las notificaciones están relacionadas con el malware de código abierto Cosmali Loader y podrían estar vinculadas a notificaciones emergentes similares detectadas por el analista de malware de GDATA, Karsten Hahn.
RussianPanda informó a BleepingComputer que Cosmali Loader distribuía utilidades de criptominería y el troyano de acceso remoto (RAT) XWorm.
Aunque se desconoce quién envió los mensajes de advertencia a los usuarios, es probable que un investigador con buenas intenciones haya accedido al panel de control del malware y lo haya utilizado para informar a los usuarios sobre la infección.
MAS es una colección de scripts de PowerShell de código abierto que automatiza la activación de Microsoft Windows y Microsoft Office mediante la activación por HWID, la emulación de KMS y diversas técnicas de evasión (Ohook, TSforge).
El proyecto está alojado en GitHub y se mantiene de forma pública. Sin embargo, Microsoft lo considera una herramienta de piratería que activa productos sin una licencia comprada, utilizando métodos no autorizados que eluden su sistema de licencias.
Los responsables del proyecto también advirtieron a los usuarios sobre la campaña y les instaron a verificar los comandos que escriben antes de ejecutarlos.
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/tweet(1).png)
Se recomienda a los usuarios que eviten ejecutar código remoto si no comprenden completamente su funcionamiento, que siempre realicen pruebas en un entorno aislado y que eviten escribir comandos manualmente para minimizar el riesgo de descargar software malicioso desde dominios fraudulentos que imitan nombres de dominio legítimos.
Los activadores no oficiales de Windows se han utilizado repetidamente para la distribución de malware, por lo que los usuarios deben ser conscientes de los riesgos y extremar las precauciones al utilizar este tipo de herramientas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/