Ferramenta falsa de ativação do Windows infecta PCs com script malicioso

Por Jaqueline Sousa • Editado por Jones Oliveira | 29/12/2025 às 16:40

Compartilhe:

Um domínio falso do Microsoft Activation Scripts (MAS), uma coleção de scripts do PowerShell que automatiza a ativação do Windows, está sendo usado por hackers para distribuir um malware que afeta o sistema operacional.

O caso foi identificado pelo Bleeping Computer após análises de relatos no Reddit. Os usuários alegam que receberam avisos pop-up em seus sistemas a respeito de uma infecção no sistema chamada “Cosmali Loader”.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

Continua após a publicidade

O alerta afirma que o malware foi implantado após a digitação incorreta do comando “get.activated.win” na hora de ativar o Windows no PowerShell. O erro está na troca por “get.activate[.]win”, um comando falso usado pelos criminosos para enganar os usuários que não percebem o erro no domínio.

Alerta de ameaça

Falando ao Bleeping Computer, especialistas de cibersegurança da RussianPanda disseram que não encontram a fonte por trás do envio das mensagens de alerta para os usuários, mas existe a possibilidade de que alguém tenha obtido acesso ao painel de controle do malware para informar as vítimas sobre a invasão.

Não há também detalhes sobre a operação do script malicioso, mas os pesquisadores identificaram que o Cosmali Loader propaga um trojan de acesso remoto e recursos de mineração de criptomoedas nos sistemas infectados.

Diante desse cenário, e considerando que scripts de ativação não oficiais do Windows são usados por hackers para distribuir malware, especialistas recomendam que os usuários prestem atenção no momento de usar essas ferramentas, evitando usar comandos que não compreendem totalmente, ou digitá-los repetidamente para minimizar a chance de erros de digitação.