Siber Güvenlik

Sahte MAS Windows Aktivasyon Alan Adı PowerShell Zararlısı Yaydı: Cosmali Loader Uyarısı

Microsoft Activation Scripts aracını taklit eden sahte bir alan adının, Windows sistemlere Cosmali Loader adlı kötü amaçlı yazılımı bulaştırmak için kullanıldığı ortaya çıktı. Güvenlik araştırmacıları, tek harflik alan adı hatasıyla PowerShell üzerinden zararlı komutların çalıştırıldığını ve kullanıcıların kripto madenciliği ile uzaktan erişim tehdidiyle karşı karşıya kaldığını bildirdi.

Aralık 25, 2025 - 13:02
Sahte MAS Windows Aktivasyon Alan Adı PowerShell Zararlısı Yaydı: Cosmali Loader Uyarısı


Microsoft Activation Scripts aracını taklit eden sahte bir alan adının, Windows kullanıcılarını hedef alan bir zararlı yazılım kampanyasında kullanıldığı belirlendi. BleepingComputer tarafından aktarılan bilgilere göre, PowerShell üzerinden Windows aktivasyonu yapan bazı kullanıcılar sistemlerinde Cosmali Loader enfeksiyonu uyarıları almaya başladı.

Reddit üzerinde yapılan paylaşımlarda, kullanıcıların “get.activated.win” yerine tek harf farkıyla “get.activate.win” alan adını yazmaları sonucu zararlı PowerShell komutlarının çalıştırıldığı belirtildi. Bu yöntemle saldırganların, meşru MAS komutlarını taklit ederek kullanıcıları yanıltmayı hedeflediği kaydedildi.

“Cosmali Loader Sisteme Sızıyor”
Güvenlik araştırmacısı RussianPanda, söz konusu uyarı mesajlarının açık kaynaklı Cosmali Loader zararlısıyla ilişkili olduğunu açıkladı. RussianPanda, Cosmali Loader’ın daha önce kriptomadencilik araçları ve XWorm uzaktan erişim truva atını (RAT) dağıttığını belirtti.

Bazı kullanıcılara gösterilen pop-up mesajlarda, “Bilgisayarınız Cosmali Loader ile enfekte oldu” ifadelerinin yer aldığı, Task Manager üzerinden şüpheli PowerShell işlemlerinin kontrol edilmesinin istendiği aktarıldı. Uyarı mesajlarının kim tarafından gönderildiği netlik kazanmazken, bir güvenlik araştırmacısının zararlı yazılım paneline erişerek kullanıcıları bilgilendirmiş olabileceği değerlendirildi.

MAS Projesi ve Riskler
Microsoft Activation Scripts, Windows ve Office ürünlerini HWID aktivasyonu, KMS emülasyonu ve çeşitli lisans atlatma yöntemleriyle etkinleştirmeyi amaçlayan açık kaynaklı bir PowerShell betikleri koleksiyonu olarak biliniyor. Proje GitHub üzerinde barındırılıyor ve açık şekilde geliştiriliyor. Ancak Microsoft, bu aracı lisans sistemini aşmaya yönelik korsan bir yöntem olarak değerlendiriyor.

Projenin geliştiricileri de yaşanan kampanyaya ilişkin uyarıda bulunarak, kullanıcıların komutları çalıştırmadan önce alan adlarını dikkatle kontrol etmeleri gerektiğini vurguladı.

Uzmanlardan Uyarı
Güvenlik uzmanları, uzaktan kod çalıştıran komutların ne yaptığının tam olarak anlaşılmadan kullanılmaması, mümkünse sanal ortamda test edilmesi ve komutların yeniden yazılmasından kaçınılması gerektiğini belirtti. Yetkililer, gayriresmî Windows aktivasyon araçlarının geçmişte de sıkça kötü amaçlı yazılım dağıtımında kullanıldığına dikkat çekti.


Ajans Expres Gazetesi

Etiketler:

Önceki haber

Eskişehir’de Hayvansal Üretim ve Su Ürünlerinde 2026–2028 Planlaması Masaya Yatı...

Sonraki Makale

MongoDB Kritik RCE Açığı İçin Uyardı: Sistem Yöneticilerine Acil Yama Çağrısı

Tepkiniz Nedir?

like

dislike

love

funny

angry

sad

wow

İlgili Mesajlar

Firefox eklenti mağazasında 150 sahte kripto cüzdanı uzantısı: Kullanıcılardan 1 milyon dolar çalındı

Firefox eklenti mağazasında 150 sahte kripto cüzdanı uz...

Ağustos 20, 2025

Zararlı NPM Paketi WhatsApp Hesaplarını Ele Geçiriyor: Mesajlar ve Kişiler Sızdırılıyor

Zararlı NPM Paketi WhatsApp Hesaplarını Ele Geçiriyor: ...

Aralık 25, 2025

Crypto24 fidye yazılımı büyük şirketlere saldırdı, EDR devre dışı bırakma aracıyla güvenlik sistemlerini aşmayı başardı

Crypto24 fidye yazılımı büyük şirketlere saldırdı, EDR ...

Ağustos 20, 2025