Вчера на Reddit появились сообщения о заражении вредоносным ПО при попытке нелегальной активации Windows. Согласно этим сообщениям, злоумышленники создали домен get.activate.win, который лишь на одну букву отличается от известного домена для активации Windows get.activated.win. Их расчёт оказался верным — некоторые пользователи попали на поддельный домен, в результате чего их ПК оказались заражены вредоносным ПО под названием Cosmali Loader.

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Обзор телевизора Sber SDX-43U4169

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Источник изображения: unsplash.com

Исследователь безопасности RussianPanda обнаружил, что компьютеры жертв заражены вредоносным ПО с открытым исходным кодом Cosmali Loader, что подтверждается аналитиком вредоносного ПО Карстеном Ханом (Karsten Hahn). По данным RussianPanda, Cosmali Loader распространял утилиты для криптомайнинга и троян удаленного доступа XWorm (RAT).

Пользователи заражённых компьютеров получили сообщение следующего содержания: «Вы были заражены вредоносным ПО под названием cosmali loader, потому что ошибочно написали get.activated.win как get.activate.win при активации Windows в PowerShell. Панель вредоносного ПО небезопасна, и любой, кто её просматривает, имеет доступ к вашему компьютеру. Переустановите Windows и не повторяйте эту ошибку в следующий раз. В качестве доказательства заражения вашего компьютера проверьте “Диспетчер задач” и найдите странные процессы PowerShell».

Источник изображения: RussianPanda

Автор этих предупреждающих сообщений неизвестен, эксперты полагают, что исследователь с благими намерениями получил доступ к панели управления вредоносным ПО и использовал её для информирования пользователей о взломе. Создатели проекта MAS также предупредили пользователей и призвали их проверять команды перед их выполнением.

Источник изображения: @massgravel

MAS — это набор скриптов PowerShell с открытым исходным кодом, автоматизирующих активацию Microsoft Windows и Microsoft Office с использованием активации по HWID, эмуляции KMS и различных обходных путей (Ohook, TSforge). Проект размещён на GitHub и находится в открытом доступе. Microsoft рассматривает его как инструмент пиратства, активирующий продукты без лицензии с использованием несанкционированных методов.

Пользователям рекомендуется избегать выполнения удалённого кода, если они не до конца понимают его назначение, всегда тестировать ПО в песочнице и избегать повторного ввода команд, чтобы минимизировать риск загрузки опасных вредоносных программ с доменов, использующих опечатки. Неофициальные активаторы Windows неоднократно использовались для распространения вредоносного ПО, поэтому пользователям необходимо знать о рисках и проявлять осторожность при использовании таких инструментов.

В марте 2025 года сообщалось о том, как ИИ-помощник Copilot помогает пользователям активировать Windows 11 пиратским образом. Он подсказывал сторонние скрипты, которые активируют Windows 11 за несколько кликов мышкой. Такое поведение своего детища ожидаемо не понравилось Microsoft и в конце концов компания исправила ответы Copilot на подобные запросы, а в ноябре совсем закрыла эту лазейку.

Поскольку поддержка Windows 10 завершилась, многие пользователи стали присматриваться к Windows 11. Однако для тех, кто планировал активировать операционную систему без лицензии, стало на один способ меньше. Дело в том, что разработчики убрали из ОС функцию GatherOSstate, которую использовал инструмент офлайн-активации KMS38 для обхода проверки лицензии, созданный хакерской группировки Massgrave.

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор телевизора Sber SDX-43U4169

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Источник изображения: Ben Wilson / Windows Central

Аббревиатура «MAS» в названии расшифровывается как Microsoft Activation Scripts, т.е. скрипты активации Microsoft. За время существования группировка Massgrave опубликовала в интернете несколько инструментов, с помощью которых можно без лицензии активировать Windows и Office. Оригинальные PowerShell-скрипты доступны, например, на GitHub.

Трудно сказать, насколько они безопасны для пользователей. Даже если исходные скрипты Massgrave не несут опасности, злоумышленники вполне могут распространять модифицированные версии, способные навредить пользовательским устройствам. Ранее в этом году в сети уже обнаруживалась вредоносная версия инструмента, позволяющего обойти ограничения на минимальные системные требования ПК, необходимые для установки Windows 11. Это лишь пример того, как злоумышленники могут применять популярные инструменты для распространения вредоносного кода.

Касательно своих разработок группировка Massgrave открыто заявляла, что они предназначены для пиратства. Люди могли использовать эти инструменты, чтобы сэкономить сотни долларов, причём риск того, что Microsoft сумеет определить взлом ОС была не так велика. Теперь же в Massgrave подтвердили, что Microsoft заблокировала способ активации Windows с помощью KMS38, который перестаёт работать после установки пакета обновлений, выпущенного в ноябре в рамках программы Patch Tuesday. Не исключено, что в будущем хакерам удастся найти другую лазейку, позволяющую активировать продукты Microsoft без лицензии.

На днях появились новости о том, что ИИ-помощник Copilot помогает пользователям активировать Windows 11 пиратским образом. Он подсказывал сторонние скрипты, которые активируют Windows 11 за несколько кликов мышкой. Такое поведение своего детища ожидаемо не понравилось Microsoft — на этой неделе компания исправила ответы Copilot на подобные запросы.

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор телевизора Sber SDX-43U4169

Источник изображения: Microsoft

Теперь, если попросить Copiliot сообщить о скриптах активации Windows, ИИ-помощник выдаёт что-то вроде:

«Я не могу вам с этим помочь. Активация Windows 11 с использованием неавторизированных скриптов незаконна и нарушает пользовательское соглашение об использовании продуктов Microsoft. Всегда лучше использовать законные методы активации программного обеспечения, чтобы гарантировать получение надлежащих обновлений и поддержки. Если вам нужна помощь в активации Windows, то вы можете посетить официальную страницу поддержки Microsoft для получения рекомендаций».

Ранее Copilot объяснял, где взять скрипт, который активирует Windows 11. Источник изображения: Neowin

Любые попытки поспорить с чат-ботом или убедить его пересмотреть своё решение ни к чему не приводят. Чат-бот ChatGPT тоже отказывается предоставлять обходные пути активации Windows, даже для таких старых версий, как Windows 95 и Windows XP. Однако любопытным пользователям однажды всё же удалось обмануть ChatGPT и заставить его сгенерировать ключи активации, но больше этот способ не работает. Microsoft очень серьёзно относится к вопросу лицензионного использования даже для своего старого программного обеспечения.