ระวังมัลแวร์ Cosmali Loader หลอกผู้ใช้งาน Windows ผ่าน MAS

ผู้ใช้พิมพ์ผิดตัวเดียว เสี่ยงติดมัลแวร์ผ่าน PowerShell

0 น้อยกว่า 1 นาที

มีการตรวจพบโดเมนปลอมที่จงใจเลียนแบบเครื่องมือ Microsoft Activation Scripts หรือที่รู้จักกันในชื่อ MAS เพื่อใช้เป็นช่องทางในการแพร่กระจายสคริปต์ PowerShell อันตราย ส่งผลให้เครื่อง Windows ของผู้ใช้ที่หลงเชื่อติดมัลแวร์ร้ายแรงชื่อ Cosmali Loader โดยกรณีนี้ถูกเปิดเผยจากการรายงานของผู้ใช้งานจำนวนมากบน Reddit และได้รับการยืนยันจากการตรวจสอบเชิงลึกของสำนักข่าวเทคโนโลยีอย่าง BleepingComputer

ภัยคุกคามนี้ทำงานผ่านเทคนิคที่เรียกว่า Typosquatting หรือการจดโดเมนให้ใกล้เคียงกับของจริงที่สุด โดยหากผู้ใช้พิมพ์คำสั่งเพื่อเปิดใช้งาน Windows ผิดจากโดเมนจริง get.activated.win ไปเป็น get.activate[.]win ซึ่งขาดตัวอักษร d ไปเพียงตัวเดียว ระบบจะทำการดาวน์โหลดสคริปต์อันตรายเข้าสู่เครื่องทันที และจะปรากฏป๊อปอัปแจ้งเตือนว่าคอมพิวเตอร์ของคุณติด Cosmali Loader พร้อมคำแนะนำให้รีบติดตั้ง Windows ใหม่เพื่อความปลอดภัย

ตามข้อความแจ้งเตือนที่ปรากฏระบุว่า มัลแวร์ตัวนี้มีแผงควบคุมที่ไม่ปลอดภัย ซึ่งหมายความว่าใครก็ตามที่สามารถเข้าถึงแผงควบคุมนี้ได้จะสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ที่ติดเชื้อได้ทั้งหมด โดยผู้ใช้สามารถสังเกตอาการผิดปกติได้เบื้องต้นจากการเช็กใน Task Manager หากพบว่ามีกระบวนการทำงานของ PowerShell ทำงานซ้อนอยู่และใช้ทรัพยากรเครื่องสูงผิดปกติ ให้สันนิษฐานไว้ก่อนว่าอาจถูกบุกรุกเข้าให้แล้ว

A typo-squatting campaign was found on the domain "get[.]activate[.]win" (notice the missing "d"), used to install a remote script-loading trojan.

Please take extra care to verify the commands you type before running them, or download the MAS AIO script from our GitHub.
— MAS (@massgravel) December 23, 2025

RussianPanda นักวิจัยด้านความปลอดภัยให้ข้อมูลเพิ่มเติมว่า Cosmali Loader เป็นมัลแวร์ประเภทโอเพ่นซอร์สที่มักถูกผู้ไม่หวังดีนำมาใช้ในการส่งต่อเครื่องมือขุดเหรียญคริปโต หรือติดตั้งโทรจันควบคุมระยะไกลอย่าง XWorm (RAT) ซึ่งมีความอันตรายสูงมาก และอาจมีความเชื่อมโยงกับการแจ้งเตือนในลักษณะเดียวกันที่ทางนักวิเคราะห์จาก GDATA เคยตรวจพบมาก่อนหน้านี้

ในขณะนี้ยังไม่มีความชัดเจนว่าใครเป็นผู้อยู่เบื้องหลังการส่งข้อความเตือนไปยังเหยื่อ แต่มีความเป็นไปได้ว่าอาจเป็นฝีมือของนักวิจัยด้านความปลอดภัยที่สามารถเจาะเข้าถึงแผงควบคุมของมัลแวร์ได้ และพยายามใช้ช่องทางนั้นแจ้งเตือนเหยื่อเพื่อให้รู้ตัวว่ากำลังถูกบุกรุก ขณะเดียวกันผู้ดูแลโครงการ MAS ตัวจริงก็ได้ออกมาประกาศเตือนให้ผู้ใช้งานตรวจสอบคำสั่งและชื่อโดเมนอย่างละเอียดทุกครั้งก่อนที่จะกดรันสคริปต์ใดๆ

แม้ว่า MAS จะเป็นชุดสคริปต์ยอดนิยมที่ใช้เปิดใช้งาน Windows และ Office แต่ผู้เชี่ยวชาญด้านความปลอดภัยยังคงเตือนว่าการใช้เครื่องมือที่ไม่เป็นทางการมีความเสี่ยงสูงมาก ผู้ใช้ควรหลีกเลี่ยงการรันโค้ดจากระยะไกลโดยที่ไม่เข้าใจการทำงานของมันจริงๆ และควรทำการทดสอบในพื้นที่จำลองอย่าง Sandbox ก่อนใช้งานเสมอ เพื่อลดความเสี่ยงจากการถูกโจมตีด้วยโดเมนปลอมและมัลแวร์ที่แฝงตัวมาในคราบเครื่องมือฟรี

ที่มา