Cobalt Strike в Telegram: злоумышленники используют имя Росса Ульбрихта для атак

Злоумышленники на платформе X* (ранее Twitter) используют недавние новости о Россе Ульбрихте для привлечения пользователей на мошеннический канал в Telegram. Там жертвам предлагают выполнить PowerShell-команды, которые заражают их устройства вредоносным ПО.

Атака, обнаруженная исследователями vx-underground, представляет собой новую вариацию тактики «Click-Fix», активно применяемой для распространения вредоносного ПО. В данном случае злоумышленники используют не «исправления ошибок», а фиктивную систему капчи или верификации, требующую запуска кода для подтверждения.

Ранее специалисты Guardio Labs и Infoblox сообщали о кампании, в которой под видом капчи пользователям предлагали выполнить PowerShell-команды для подтверждения, что они не являются ботами.

Приманка с Ульбрихтом

Росса Ульбрихта, основателя печально известной даркнет-платформы Silk Road, используют как приманку. Silk Road действовал как центр торговли нелегальными товарами и услугами. В 2015 году Ульбрихта приговорили к пожизненному заключению, что вызвало споры из-за чрезмерной строгости наказания. На этой неделе Дональд Трамп, как и обещал ранее, подписал указ о помиловании Ульбрихта.

Злоумышленники воспользовались этим событием, создав фальшивые аккаунты Ульбрихта на X* и перенаправляя людей на мошеннические Telegram-каналы, замаскированные под официальные порталы.

Поддельный аккаунт Ульбрихта. Источник: vx-underground

В Telegram мошенники предлагают пройти фальшивую верификацию под названием «Safeguard». Процесс включает использование мини-приложения Telegram, которое копирует вредоносный код PowerShell в буфер обмена устройства и убеждает пользователей вставить его в командную строку Windows и выполнить.

Инструкция для жертвы

После выполнения команда скачивает и запускает PowerShell-скрипт, который загружает ZIP-архив с сайта http://openline[.]cyou . В архиве содержится вредоносный файл identity-helper.exe, предположительно являющийся загрузчиком Cobalt Strike. Cobalt Strike часто используется хакерами для получения удалённого доступа к компьютерам и сетям, что нередко предшествует атакам с применением программ-вымогателей и кражи данных.

Злоумышленники намеренно используют продуманный язык и убедительные формулировки, чтобы жертвы не заподозрили подвох.

Эксперты предупреждают: никогда не выполняйте команды, скопированные из Интернета, без анализа их содержания. Если в тексте присутствует обфускация, это должно вызвать подозрения.

* Социальная сеть запрещена на территории Российской Федерации.