Недавние события вокруг Росса Ульбрихта стали катализатором для новомодной кибератаки, в рамках которой хакеры используют имя известного личности для введения в заблуждение пользователей платформы X. Данная схема направлена на перенаправление жертв на фальшивые каналы в Telegram, где они под принуждением запускают вредоносный код PowerShell, что приводит к заражению их систем.
Суть атаки
По данным исследовательской группы vx-underground, текущая кампания представляет собой новую версию тактики «Click-Fix», которая все чаще применяется злоумышленниками для распространения вредоносного ПО. Хакеры создали поддельные аккаунты Росса Ульбрихта на платформе X и использовали их для привлечения пользователей на мошеннические Telegram-каналы, выдав их за официальные ресурсы.
Процесс заражения
На этих каналах пользователям предлагают пройти фиктивную проверку личности под названием «Safeguard». После её завершения они получают мини-приложение Telegram, которое имитирует диалог проверки. Это приложение автоматически копирует вредоносную команду PowerShell в буфер обмена и призывает пользователей вставить и выполнить эту команду в диалоговом окне «Выполнить» Windows.
В результате выполнения кода начинается загрузка скрипта PowerShell, который извлекает ZIP-файл с адреса http://openline.cyou. Внутри этого файла находится исполняемый файл identity-helper.exe, который на VirusTotal уже упоминается как потенциальный загрузчик Cobalt Strike.
Что такое Cobalt Strike?
Cobalt Strike — это широко используемый хакерами инструмент для тестирования на проникновение, который позволяет устанавливать удаленный доступ к скомпрометированным системам. Заражения такого рода часто служат трамплином для дальнейших атак, таких как применения программ-вымогателей или утечка данных, что подчеркивает серьёзность подобных угроз.
Рекомендации пользователям
Пользователям настоятельно рекомендуется:
- Не запускать команды, скопированные из онлайн-источников, в диалоговом окне «Выполнить» Windows или в терминале PowerShell, если вы не уверены в их безопасности.
- Проявлять осторожность при взаимодействии с неизвестным контентом в Интернете.
- Своевременно обновлять программное обеспечение и использовать надежные антивирусные решения.
Заявление Telegram
В обновлении от 23 января представитель Telegram прокомментировал ситуацию, отметив проактивный мониторинг публичных платформ, включая ботов и мини-приложения. «Мы стремимся к оперативному удалению вредоносного контента при его обнаружении», — подчеркнул он.
Представитель также добавил, что модераторы платформы ежедневно удаляют миллионы нарушающих материалы, что демонстрирует их приверженность к обеспечению безопасной среды для пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака хакеров на пользователей X через фейковые аккаунты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.