كشفت تقارير أمنية حديثة عن استغلال نطاق إلكتروني مزيف، يشبه إلى حد كبير نطاق أداة Microsoft Activation Scripts (MAS) الشهيرة، لنشر برمجيات خبيثة تستهدف أنظمة ويندوز عبر أوامر PowerShell، في هجوم يعتمد على خطأ إملائي بسيط قد يقع فيه المستخدمون.
وبحسب موقع “BleepingComputer”، بدأ عدد من مستخدمي أداة MAS بالإبلاغ عبر منصة “ريديت” عن ظهور رسائل تحذيرية مفاجئة على أجهزتهم، تفيد بإصابتهم ببرمجية خبيثة تُعرف باسم Cosmali Loader.
التحقيقات أوضحت أن المهاجمين أنشأوا نطاقًا مزيفًا هو: get.activate[.]win، ليحاكي النطاق الرسمي المستخدم في تعليمات MAS وهو: get.activated.win. الفارق بين النطاقين هو حرف واحد فقط، ما يجعل المستخدمين عرضة للوقوع في الفخ عند كتابة الأمر يدويًا داخل PowerShell، حيث يتم تحميل سكربتات خبيثة تصيب النظام.
الباحث الأمني المعروف باسم RussianPanda أكد أن الإشعارات التي ظهرت للمستخدمين مرتبطة ببرمجية Cosmali Loader مفتوحة المصدر، مشيرًا إلى أنها استخدمت سابقًا في تحميل أدوات تعدين العملات المشفرة، إضافة إلى حصان طروادة للتحكم عن بُعد يُعرف باسم XWorm RAT.
القائمون على مشروع MAS المستضاف على منصة GitHub حذروا المستخدمين من هذه الحملة، ودعوا إلى التحقق بدقة من الأوامر قبل تنفيذها وعدم إعادة كتابتها يدويًا لتجنب الوقوع في فخ النطاقات المزورة. كما نصح الخبراء بعدم تشغيل أي شيفرة برمجية عن بُعد دون فهم كامل لوظيفتها، واختبارها داخل بيئة معزولة (Sandbox)، خاصة أن أدوات تفعيل ويندوز غير الرسمية كانت ولا تزال وسيلة شائعة لنشر البرمجيات الخبيثة.
ورغم أن MAS مشروع مفتوح المصدر، فإن “مايكروسوفت” تصنفه كأداة قرصنة تلتف على نظام التراخيص الخاص بها، ويؤكد خبراء الأمن السيبراني أن استخدام مثل هذه الأدوات يعرض المستخدمين لمخاطر كبيرة قد تصل إلى فقدان السيطرة الكاملة على أجهزتهم. حرف واحد خاطئ كان كافيًا لاختراق آلاف الأجهزة، ومع تزايد الهجمات المعتمدة على النطاقات المزورة، يبقى الحذر والتأكد من مصادر الأوامر والبرمجيات هو خط الدفاع الأول أمام هذه التهديدات الرقمية.