كشفت تقارير أمنية حديثة عن استغلال نطاق إلكتروني مزيف، يشبه إلى حد كبير نطاق أداة Microsoft Activation Scripts (MAS) الشهيرة، لنشر برمجيات خبيثة تستهدف أنظمة ويندوز عبر أوامر PowerShell، في هجوم يعتمد على خطأ إملائي بسيط قد يقع فيه المستخدمون.

وبحسب موقع "BleepingComputer"، بدأ عدد من مستخدمي أداة MAS بالإبلاغ عبر منصة "ريديت" عن ظهور رسائل تحذيرية مفاجئة على أجهزتهم، تفيد بإصابتهم ببرمجية خبيثة تُعرف باسم Cosmali Loader.

نطاق مزيف بفارق حرف واحد

التحقيقات أوضحت أن المهاجمين أنشأوا نطاقًا مزيفًا هو: get.activate[.]win.

ليحاكي النطاق الرسمي المستخدم في تعليمات MAS وهو: get.activated.win.

الفارق بين النطاقين هو حرف واحد فقط، ما يجعل المستخدمين عرضة للوقوع في الفخ عند كتابة الأمر يدويًا داخل PowerShell.

وبمجرد تنفيذ الأمر الخاطئ، يتم تحميل سكربتات خبيثة تصيب النظام.

برمجيات تعدين وتجسس

الباحث الأمني المعروف باسم RussianPanda أكد أن الإشعارات التي ظهرت للمستخدمين مرتبطة ببرمجية Cosmali Loader مفتوحة المصدر، مشيرًا إلى أنها استخدمت سابقًا في تحميل أدوات تعدين العملات المشفرة، إضافة إلى حصان طروادة للتحكم عن بُعد يُعرف باسم XWorm RAT.

كما رجح أن تكون رسائل التحذير قد.....

لقراءة المقال بالكامل، يرجى الضغط على زر "إقرأ على الموقع الرسمي" أدناه

هذا المحتوى مقدم من صحيفة البلاد البحرينية