Domain Palsu Aktivasi Windows MAS Digunakan Sebarkan Malware PowerShell
Peneliti keamanan siber mengungkap adanya domain palsu yang meniru layanan Microsoft Activation Scripts (MAS) dan dimanfaatkan untuk menyebarkan malware berbasis PowerShell ke sistem Windows. Domain tersebut digunakan dalam skema typosquatting, dengan memanfaatkan kesalahan pengetikan pengguna saat menjalankan perintah aktivasi Windows.
Kasus ini mencuat setelah sejumlah pengguna MAS melaporkan munculnya peringatan pop-up mencurigakan di sistem mereka. Peringatan tersebut menyebutkan bahwa perangkat telah terinfeksi malware bernama Cosmali Loader, yang diklaim terjadi akibat kesalahan penulisan alamat domain saat menjalankan perintah aktivasi Windows melalui PowerShell.
Berdasarkan temuan tersebut, pelaku diketahui membuat domain tiruan yang sangat mirip dengan alamat resmi yang tercantum dalam dokumentasi MAS. Perbedaannya hanya satu karakter, sehingga pengguna yang kurang teliti berpotensi mengakses domain berbahaya tanpa menyadarinya. Dari domain inilah skrip PowerShell berbahaya diunduh dan dijalankan di sistem korban.
Peneliti keamanan dengan nama samaran RussianPanda mengonfirmasi bahwa peringatan tersebut berkaitan dengan Cosmali Loader, sebuah malware sumber terbuka. Malware ini diketahui mampu mengunduh komponen tambahan, termasuk utilitas penambangan kripto serta remote access trojan XWorm yang memungkinkan penyerang mengendalikan sistem korban dari jarak jauh.
Menariknya, belum dapat dipastikan siapa pihak yang memunculkan peringatan pop-up tersebut. Ada dugaan bahwa seorang peneliti keamanan yang memiliki niat baik berhasil mengakses panel kendali malware dan menggunakan akses tersebut untuk memperingatkan para korban mengenai kompromi yang terjadi pada sistem mereka.
MAS sendiri merupakan kumpulan skrip PowerShell sumber terbuka yang dirancang untuk mengotomatisasi aktivasi Microsoft Windows dan Microsoft Office. Metode yang digunakan mencakup aktivasi berbasis HWID, emulasi KMS, serta berbagai teknik bypass. Proyek ini dikelola secara terbuka di GitHub, namun Microsoft menganggapnya sebagai alat pembajakan karena mengaktifkan produk tanpa lisensi resmi.
Pengelola proyek MAS juga telah mengeluarkan peringatan kepada pengguna terkait kampanye berbahaya ini. Mereka menekankan pentingnya memeriksa kembali setiap perintah yang diketik sebelum dieksekusi, terutama saat menjalankan skrip dari sumber daring.
Para pakar keamanan kembali mengingatkan agar pengguna tidak sembarangan mengeksekusi kode jarak jauh tanpa memahami fungsinya secara menyeluruh. Pengujian di lingkungan terisolasi seperti sandbox serta menghindari pengetikan ulang perintah secara manual dinilai dapat mengurangi risiko terpapar malware dari domain palsu.
Kasus ini menambah daftar panjang penyalahgunaan alat aktivasi Windows tidak resmi sebagai sarana distribusi malware. Pengguna diimbau untuk menyadari risiko yang melekat dan lebih berhati-hati saat menggunakan perangkat lunak atau skrip aktivasi dari sumber yang tidak diverifikasi.
