Se stai cercando di attivare Windows o Microsoft Office senza acquistare una licenza ufficiale, potresti essere esposto a un rischio significativo di sicurezza informatica. Recentemente, i cybercriminali hanno scoperto un metodo semplice ma devastante per distribuire malware sfruttando proprio gli strumenti di attivazione più popolari. La buona notizia? Evitare questo pericolo è facile: utilizza sempre versioni ufficiali di Windows e Office oppure acquista licenze a prezzi accessibili. Se hai già usato attivatori non ufficiali, considera di reinstallare completamente il tuo sistema operativo per garantire la massima sicurezza.
Come funziona l’attacco: il typosquatting
L’attacco sfrutta un errore umano estremamente comune: un semplice refuso durante la digitazione. Il metodo più popolare per attivare Windows in modo non ufficiale utilizza uno strumento open source chiamato Microsoft Activation Scripts (MAS), una raccolta di script PowerShell disponibile su GitHub che automatizza l’attivazione di Windows 8, 10 e 11, nonché di Microsoft Office.
Gli utenti che desiderano utilizzare MAS devono digitare un comando che accede a un dominio specifico: get.activated.win. Tuttavia, i cybercriminali hanno registrato un dominio quasi identico: get.activate.win (manca la lettera “d”). Questa tecnica è nota come typosquatting ed è incredibilmente efficace perché sfrutta la disattenzione naturale delle persone.
Chiunque digiti inavvertitamente il dominio errato non attiva Windows come previsto, ma installa invece il Cosmali Loader, un trojan sofisticato che scarica automaticamente vari tipi di malware sul computer, tra cui:
– Miner di criptovalute: software che utilizza la potenza di elaborazione del tuo PC per generare criptovalute per i criminali, rallentando notevolmente le prestazioni del tuo computer
– XWorm RAT (Remote Access Trojan): un accesso remoto che permette ai criminali di controllare completamente il tuo computer, accedere ai tuoi dati personali, rubare password e credenziali bancarie
La campagna di avviso e il ruolo dei ricercatori di sicurezza
Diversi utenti hanno ricevuto un messaggio di avviso sullo schermo che li informava dell’infezione da malware. Sebbene non sia completamente chiaro chi abbia inviato questo messaggio, è probabile che un ricercatore di sicurezza abbia ottenuto l’accesso al pannello di controllo dell’infrastruttura malware e abbia avvisato le vittime, consigliando loro di reinstallare completamente Windows.
Gli sviluppatori ufficiali di MAS hanno confermato questa campagna di typosquatting e hanno consigliato agli utenti di verificare attentamente i comandi prima di eseguirli. Tuttavia, il consiglio più importante rimane: evitare completamente l’uso di strumenti di attivazione non ufficiali.
Perché gli attivatori pirata sono pericolosi
Gli attivatori di Windows e Office non ufficiali rappresentano un canale privilegiato per la diffusione di malware per diverse ragioni:
Fiducia ingannevole: gli utenti scaricano questi strumenti intenzionalmente, abbassando le loro difese mentali e rendendosi più vulnerabili all’infezione.
Scarsa manutenzione: le copie di Windows attivate illegalmente spesso non ricevono gli aggiornamenti di sicurezza critici di Microsoft, lasciando il sistema esposto a vulnerabilità note.
Fonti non affidabili: molti attivatori vengono scaricati da siti web dubbi, forum non verificati o reti peer-to-peer (Torrent), dove è facile trovare versioni compromesse.
Difficoltà nella rimozione: una volta installati, i malware distribuiti tramite questi canali possono essere estremamente difficili da individuare e rimuovere, anche con software antivirus tradizionali.
Protezione e alternative legali
La soluzione più semplice è acquistare una licenza ufficiale di Windows. Contrariamente a quanto molti credono, le licenze non sono costose: è possibile trovarle a pochi euro su diversi siti affidabili senza incorrere in alcun problema legale.
Se utilizzi già un attivatore non ufficiale, i passaggi consigliati sono:
- Esegui una scansione completa del tuo computer con un software antivirus affidabile per verificare la presenza di malware
- Considera una reinstallazione pulita di Windows da supporto ufficiale per garantire la massima sicurezza
- Acquista una licenza legittima per evitare problemi futuri
- Abilita Windows Update per ricevere tutti gli aggiornamenti di sicurezza critici
Aspetti legali e di sicurezza
L’uso di software senza licenza non è solo un rischio per la sicurezza informatica, ma presenta anche implicazioni legali significative. L’utilizzo di copie pirata di Windows o Office viola i termini di servizio di Microsoft e potrebbe esporre gli utenti a conseguenze legali, soprattutto in ambito aziendale.
Microsoft ha recentemente intensificato i suoi sforzi per contrastare la pirateria software. Nel novembre 2025, l’azienda ha bloccato il metodo KMS38, considerato per anni il “gold standard” della pirateria di Windows perché era sicuro, facile da usare e garantiva l’installazione di tutti gli aggiornamenti ufficiali. Dopo questo aggiornamento, i PC attivati tramite questo metodo hanno iniziato a perdere lo stato di attivazione, visualizzando messaggi che invitano gli utenti ad acquistare una licenza legittima.
Technical Deep Dive: come funziona MAS e il meccanismo di attivazione
Per gli utenti più tecnici, è utile comprendere come funziona effettivamente MAS e perché rimane una vulnerabilità di sicurezza nonostante sia open source.
Metodi di attivazione in MAS:
Microsoft Activation Scripts supporta quattro metodi principali di attivazione:
– HWID (Hardware ID): legge l’ID hardware del computer e lo registra presso i server Microsoft come se fosse un’installazione legittima
– Emulazione KMS: simula un server aziendale di Key Management Service (KMS) interno. Le grandi aziende utilizzano KMS per attivare migliaia di PC collegandosi a un server interno aziendale, non a Microsoft. Queste attivazioni scadono solitamente ogni 180 giorni e devono essere rinnovate collegandosi alla rete aziendale
– Ohook: modifica i file di Office per bypassare la verifica della licenza
– TSforge: emula un server Terminal Server per l’attivazione
Perché KMS38 era efficace:
Il metodo KMS38 simulava un server KMS “buggato” che non richiedeva rinnovamento periodico, rendendo l’attivazione permanente. A differenza di altri metodi, KMS38 non aveva rischi per la sicurezza intrinseci poiché era totalmente open source e non modificava file di sistema critici. Tuttavia, Microsoft ha deciso di bloccare questa metodologia modificando i meccanismi di verifica delle licenze negli aggiornamenti di novembre 2025.
L’ecosistema di distribuzione del malware:
Il Cosmali Loader, utilizzato nel typosquatting di get.activate.win, è un trojan sofisticato che utilizza uno script di caricamento remoto. Una volta installato, si connette a server controllati dai criminali e scarica dinamicamente vari payload:
– I miner di criptovalute utilizzano CPU e GPU del computer infetto per generare monero o altre criptovalute
– XWorm RAT fornisce accesso remoto completo, permettendo ai criminali di eseguire comandi arbitrari, rubare file, registrare tastiere e accedere a webcam
Indicatori di compromissione:
Se sospetti di avere il Cosmali Loader o altri malware correlati sul tuo sistema, cerca questi indicatori:
– Rallentamento significativo del computer, soprattutto durante l’utilizzo di applicazioni pesanti
– Aumento anomalo dell’utilizzo della CPU o della GPU anche quando il computer dovrebbe essere inattivo
– Processi sconosciuti in Gestione attività con nomi offuscati o strani
– Traffico di rete elevato verso indirizzi IP sospetti
– File di registro di Windows (Registry) modificati in modo anomalo
Prevenzione a livello tecnico:
Gli amministratori di sistema dovrebbero implementare:
– Whitelist di applicazioni: controllare quali applicazioni possono essere eseguite sul sistema
– Monitoraggio del comportamento: utilizzare software che rileva comportamenti sospetti anche da malware sconosciuto
– Segmentazione di rete: isolare i computer non critici da quelli che contengono dati sensibili
– Aggiornamenti automatici: abilitare Windows Update per ricevere patch di sicurezza immediatamente
– Controllo dell’esecuzione di script PowerShell: limitare l’esecuzione di script PowerShell non firmati utilizzando Execution Policy
La sicurezza informatica moderna non è una destinazione, ma un processo continuo di vigilanza e aggiornamento.
Fonte: https://www.punto-informatico.it/malware-distribuito-tramite-attivatore-windows/
