Vorsicht bei Windows-Aktivierung:
Hacker nutzen Tippfehler aus

Ein Tippfehler mit drastischen Folgen: Kriminelle missbrauchen eine gefälschte Windows-Aktivierungsseite, um Schadsoftware per PowerShell zu verbreiten - betroffen sind Nutzer inoffizieller Aktivierungsskripte.

Trick mit inoffiziellem Aktivierungsskript

Wer Windows außerhalb der offiziellen Wege aktiviert, begibt sich auf riskantes Terrain. Kurz vor Weihnachten ist ein neuer Fall bekannt geworden, bei dem Angreifer gezielt Nutzer von inoffiziellen Aktivierungsskripten ins Visier genommen haben. Ein nur minimal abweichender Domainname reichte aus, um Schadsoftware auf zahlreiche Systeme zu bringen.

Konkret geht es um die weitverbreiteten "Microsoft Activation Scripts" (MAS), eine Open-Source-Sammlung von PowerShell-Skripten, mit denen sich Windows und Office ohne gültige Lizenz aktivieren lassen. Statt der korrekten Adresse get.activated.win nutzten die Angreifer die täuschend ähnliche Domain get.activate.win. Der Unterschied besteht aus nur einem fehlenden Buchstaben - ein klassischer Fall von sogenanntem Typosquatting.


Mehrere Nutzer berichteten in den vergangenen Tagen auf Reddit von ungewöhnlichen Warnmeldungen auf ihren Rechnern. In den Pop-ups hieß es, das System sei mit dem "Cosmali Loader" infiziert worden, ausgelöst durch die falsch eingegebene Domain beim Ausführen eines PowerShell-Befehls. Gleichzeitig wurden die Betroffenen aufgefordert, Windows neu zu installieren und verdächtige PowerShell-Prozesse im Task-Manager zu prüfen.

Sicherheitsforscher ordnen die Kampagne als gezielte Malware-Verbreitung ein. Der Cosmali Loader gilt als modularer Schadcode, der unter anderem Krypto-Mining-Programme sowie den Remote-Access-Trojaner XWorm nachladen kann. Damit erhalten Angreifer weitreichenden Zugriff auf kompromittierte Systeme.

Hacker gehackt?

Auffällig ist, dass die Warnmeldungen selbst offenbar über das Kontrollpanel der Malware ausgespielt wurden, schreibt Bleeping Computer. Es wird vermutet, dass ein externer Forscher Zugang zu dieser Infrastruktur erlangt und die Hinweise bewusst veröffentlicht hat, um Nutzer auf die Infektion aufmerksam zu machen. Infografik Wirtschaft: Die finanziellen Schäden durch Cyberkriminalität

Prüfen ist das A und O

Die Betreiber des MAS-Projekts reagierten ebenfalls und warnten ausdrücklich vor der Kampagne. Nutzer sollten eingegebene Befehle genau prüfen und keine PowerShell-Kommandos ausführen, deren Herkunft sie nicht zweifelsfrei kennen. Gerade das manuelle Abtippen von Befehlen erhöhe das Risiko, auf manipulierte Domains zuzugreifen.

Der Vorfall unterstreicht erneut ein bekanntes Problem: Inoffizielle Windows-Aktivierungstools werden seit Jahren als Einfallstor für Malware missbraucht. Microsoft stuft MAS selbst als Pirateriewerkzeug ein, da es Lizenzmechanismen umgeht.

Für Anwender bedeutet das ein doppeltes Risiko - rechtlich wie sicherheitstechnisch. Wer dennoch mit solchen Skripten arbeitet, sollte zumindest verstehen, was ausgeführt wird, Tests in isolierten Umgebungen durchführen und besonders aufmerksam bei Domains und Befehlen sein. Der Vorfall zeigt, wie schnell die Windows-Aktivierung zu einen ernsthaften Sicherheitsrisiko werden kann.

Was haltet ihr von solchen Tools und den Gefahren?

Download RogueKiller - zuverlässig Malware entfernen
Siehe auch: