Χάκερ στο X εκμεταλλεύονται τις ειδήσεις γύρω από τον Ross Ulbricht για να κατευθύνουν ανυποψίαστους χρήστες σε ένα κανάλι Telegram που τους εξαπατά να εκτελέσουν κακόβουλο κώδικα PowerShell μέσω captcha.
Δείτε επίσης: Ενημέρωση του Telegram φέρνει σύστημα επαλήθευσης τρίτων

Η επίθεση, που εντοπίστηκε από το vx-underground, είναι μια νέα παραλλαγή της τακτικής “Click-Fix” που έχει γίνει πολύ δημοφιλής μεταξύ των παραγόντων απειλών για τη διανομή κακόβουλου λογισμικού τον περασμένο χρόνο. Ωστόσο, αντί να διορθώνει κοινά σφάλματα, αυτή η παραλλαγή προσποιείται ότι είναι ένα σύστημα captcha ή επαλήθευσης που πρέπει να εκτελέσουν οι χρήστες για να συμμετάσχουν στο κανάλι Telegram.
Τον περασμένο μήνα, ερευνητές από το Guardio Labs και ερευνητές του Infoblox αποκάλυψαν μια νέα καμπάνια που χρησιμοποίησε σελίδες επαλήθευσης CAPTCHA που προτρέπουν τους χρήστες να εκτελέσουν εντολές PowerShell για να επαληθεύσουν ότι δεν είναι bot.
Ο Ross Ulbricht είναι ο ιδρυτής και ο κύριος χειριστής της διαβόητης αγοράς σκοτεινού ιστού Silk Road, η οποία λειτουργούσε ως κόμβος για την πώληση και την αγορά παράνομων αγαθών και υπηρεσιών. Ο άνδρας καταδικάστηκε σε ισόβια κάθειρξη το 2015, την οποία ορισμένοι βρήκαν υπερβολική δεδομένου ότι διευκόλυνε εγκλήματα και δεν τα διεξήγαγε προσωπικά.
Ο Πρόεδρος Trump εξέφρασε προηγουμένως την ίδια άποψη, υποσχόμενος να δώσει χάρη στον Ulbricht μόλις γίνει Πρόεδρος των ΗΠΑ και πρόσφατα εκπλήρωσε αυτή την υπόσχεση.
Δείτε ακόμα: Εγκληματίες στη Νοτιοανατολική Ασία χρησιμοποιούν το Telegram
Οι χάκερ εκμεταλλεύτηκαν αυτήν την εξέλιξη, χρησιμοποιώντας ψεύτικους αλλά επαληθευμένους λογαριασμούς του Ross Ulbricht στο X για να κατευθύνουν άτομα σε κακόβουλα κανάλια Telegram που παρουσιάζονται ως επίσημες πύλες Ulbricht.

Στο Telegram, οι χρήστες αντιμετωπίζονται με το λεγόμενο αίτημα επαλήθευσης ταυτότητας που ονομάζεται «Safeguard», το οποίο καθοδηγεί τους χρήστες στη διαδικασία ψεύτικης επαλήθευσης.
Στο τέλος, εμφανίζεται στους χρήστες μια μίνι εφαρμογή Telegram που εμφανίζει ένα ψεύτικο παράθυρο επαλήθευσης captcha. Αυτή η μίνι εφαρμογή αντιγράφει αυτόματα μια εντολή PowerShell στο πρόχειρο της συσκευής και στη συνέχεια, ζητά από τον χρήστη να ανοίξει το παράθυρο διαλόγου Εκτέλεση των Windows, να το επικολλήσει και να το εκτελέσει.
Ο κώδικας που αντιγράφηκε στο πρόχειρο κατεβάζει και εκτελεί ένα σενάριο PowerShell, το οποίο τελικά κατεβάζει ένα αρχείο ZIP στη διεύθυνση http://openline[.]cyou.
Αυτό το αρχείο zip περιέχει πολλά αρχεία, συμπεριλαμβανομένου του ID-helper.exe [VirusTotal], το οποίο ένα σχόλιο στο VirusTotal υποδεικνύει ότι μπορεί να είναι ένα πρόγραμμα φόρτωσης Cobalt Strike.
Δείτε επίσης: Telegram: Θα δίνει αριθμούς τηλεφώνου και διευθύνσεις IP χρηστών στις αρχές
Τα κακόβουλα σενάρια PowerShell έχουν γίνει ένα κοινό εργαλείο για εισβολείς στον κυβερνοχώρο λόγω της ευελιξίας και των ισχυρών δυνατοτήτων τους. Αυτά τα σενάρια μπορούν να χρησιμοποιηθούν για την παράκαμψη των παραδοσιακών μέτρων ασφαλείας, την εκτέλεση εντολών από απόσταση και την παράδοση ωφέλιμων φορτίων χωρίς να βασίζονται σε εξωτερικά αρχεία. Η ικανότητά τους να λειτουργούν εγγενώς σε περιβάλλοντα Windows καθιστά δύσκολο τον εντοπισμό τους. Οι εισβολείς χρησιμοποιούν συχνά το PowerShell για να συσκοτίσουν τον κώδικα, να αποκρύψουν κακόβουλες προθέσεις και να αποφύγουν μηχανισμούς ανίχνευσης, γεγονός που υπογραμμίζει τη σημασία της εφαρμογής κατάλληλων πρακτικών παρακολούθησης και ασφάλειας για τον μετριασμό τέτοιων απειλών.
Πηγή: bleepingcomputer