攻击者利用仿冒 " 微软激活脚本（MAS）" 的拼写错误域名，分发恶意 PowerShell 脚本，使 Windows 系统感染 Cosmali Loader 恶意软件。

安全研究员发现，有多名 MAS 工具用户在 Reddit 平台反馈，其设备弹出 Cosmali Loader 感染预警提示。根据用户报告，攻击者搭建了仿冒域名 "get.activate [ . ] win"，该域名与 MAS 官方激活指南中列出的合法域名 "get.activated.win" 高度相似。两个域名仅相差一个字符（合法域名多一个 "d"），攻击者正是利用用户可能出现的输入失误实施攻击。

警告信息

安全研究员证实，这些预警提示与开源恶意软件 Cosmali Loader 相关，且可能与 GDATA 恶意软件分析师 Karsten Hahn 此前发现的类似弹窗预警同源。 

Cosmali Loader 会投放加密挖矿工具与 XWorm 远程控制木马。目前尚不清楚是谁向用户推送了预警信息，但大概率是研究员获取了该恶意软件的控制面板权限后，通过弹窗告知用户设备已遭入侵。

微软激活脚本（MAS）是一套开源 PowerShell 脚本集合，通过硬件 ID（HWID）激活、KMS 模拟及多种绕过技术（如 Ohook、TSforge），实现微软 Windows 系统与 Office 办公软件的自动化激活。

该项目托管于 GitHub 平台，由开发者公开维护，但微软将其认定为盗版工具——因其通过未授权方式规避许可验证系统，无需购买正版授权即可激活产品。

MAS 项目维护者已针对此次攻击事件发出安全预警，提醒用户在执行命令前仔细核对输入内容。同时建议用户若未完全理解远程代码的功能，切勿随意执行；尽量在沙箱环境中测试未知脚本；避免手动重复输入命令，以降低因访问拼写错误域名而加载危险载荷的风险。

需注意的是，非官方 Windows 激活工具已多次被用于传播恶意软件，用户使用此类工具时需充分认识潜在风险，保持高度警惕。