攻擊者利用仿冒 " 微軟激活腳本（MAS）" 的仿冒拼寫錯誤域名，分發(fā)惡意 PowerShell 腳本，微軟使 Windows 系統(tǒng)感染 Cosmali Loader 惡意軟件。激活腳本

安全研究員發(fā)現(xiàn)，工具感染有多名 MAS 工具用戶在 Reddit 平臺反饋，域名其設備彈出 Cosmali Loader 感染預警提示。暗藏根據(jù)用戶報告，惡意攻擊者搭建了仿冒域名 "get.activate [ . ] win"，設備該域名與 MAS 官方激活指南中列出的仿冒合法域名 "get.activated.win" 高度相似。兩個域名僅相差一個字符（合法域名多一個 "d"），微軟攻擊者正是激活腳本利用用戶可能出現(xiàn)的輸入失誤實施攻擊。