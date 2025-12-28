Ignoti cybercriminali hanno distribuito un malware sfruttando il noto tool Microsoft Activation Scripts (MAS) e un errore involontario degli utenti che cercano di attivare le copie pirata di Windows. Un ricercatore di sicurezza è riuscito ad avvisare le vittime.

Evitare gli attivatori di Windows

Microsoft Activation Scripts (MAS) è una collezione open source di script PowerShell che automatizza l’attivazione di Windows 8/10/11 e Office utilizzano diversi metodi (HWID, emulazione KMS, Ohook e TSforge). Il progetto è ospitato su GitHub e periodicamente aggiornato. È ovviamente un tool che permette di attivare i software Microsoft senza licenza, ma l’azienda di Redmond non ha rimosso i file (GitHub è di Microsoft).

Gli utenti possono usare la versione all-in-one con l’elenco delle opzioni di attivazione oppure digitare i singoli comandi in PowerShell. Quest’ultima opzione prevede l’accesso al dominio get.activated.win . Se viene digitato inavvertitamente il dominio get.activate.win , l’utente installa sul computer Cosmali Loader che scarica vari malware, tra cui miner di criptovalute e XWorm RAT (Remote Access Trojan).

Diversi utenti hanno visto sullo schermo un avviso come questo:

Non è chiaro chi ha inviato il messaggio. Probabilmente un ricercatore di sicurezza ha ottenuto l’accesso al pannello di controllo del malware e informato le vittime, consigliando di reinstallare Windows. Gli sviluppatori di MAS hanno confermato la campagna di typosquatting.

A typo-squatting campaign was found on the domain "get[.]activate[.]win" (notice the missing "d"), used to install a remote script-loading trojan. Please take extra care to verify the commands you type before running them, or download the MAS AIO script from our GitHub. — MAS (@massgravel) December 23, 2025

Gli utenti dovrebbero controllare con attenzione i comandi PowerShell prima dell’esecuzione. Essendo un tool pirata è meglio evitare l’uso di MAS. Gli attivatori di Windows e Office sono spesso sfruttati per distribuire malware di vario tipo, soprattutto se scaricati da siti poco affidabili o tramite rete Torrent.