Οι ηθοποιοί απειλών στο X εκμεταλλεύονται τις ειδήσεις γύρω από τον Ross Ulbricht για να κατευθύνουν ανυποψίαστους χρήστες σε ένα κανάλι Telegram που τους εξαπατά να εκτελέσουν κώδικα PowerShell που τους μολύνει με κακόβουλο λογισμικό.
Η επίθεση, εντοπίστηκε από το vx-undergroundείναι μια νέα παραλλαγή της τακτικής “Click-Fix” που έχει γίνει πολύ δημοφιλής μεταξύ των φορέων απειλών για τη διανομή κακόβουλου λογισμικού τον περασμένο χρόνο.
Ωστόσο, αντί να διορθώνει κοινά σφάλματα, αυτή η παραλλαγή προσποιείται ότι είναι ένα σύστημα captcha ή επαλήθευσης που πρέπει να εκτελέσουν οι χρήστες για να συμμετάσχουν στο κανάλι.
Τον περασμένο μήνα, ερευνητές από το Guardio Labs και τους ερευνητές του Infoblox αποκάλυψαν μια νέα καμπάνια που χρησιμοποίησε σελίδες επαλήθευσης CAPTCHA που προτρέπουν τους χρήστες να εκτελέσουν εντολές PowerShell για να επαληθεύσουν ότι δεν είναι bot.
Ο δημιουργός του Silk Road χρησιμοποιείται ως δέλεαρ
Ο Ross Ulbricht είναι ο ιδρυτής και ο κύριος χειριστής της διαβόητης αγοράς σκοτεινού ιστού Silk Road, η οποία λειτουργούσε ως κόμβος για την πώληση και την αγορά παράνομων αγαθών και υπηρεσιών.
Ο άνδρας καταδικάστηκε σε ισόβια κάθειρξη το 2015, την οποία ορισμένοι βρήκαν υπερβολική δεδομένου ότι διευκόλυνε εγκλήματα και δεν τα διεξήγαγε προσωπικά.
Ο Πρόεδρος Τραμπ εξέφρασε προηγουμένως την ίδια άποψη, υποσχόμενος να δώσει χάρη στον Ούλμπριχτ μόλις γίνει Πρόεδρος των ΗΠΑ, και χθες, εκπλήρωσε αυτή την υπόσχεση.
Οι ηθοποιοί της απειλής εκμεταλλεύτηκαν αυτήν την εξέλιξη, χρησιμοποιώντας ψεύτικους αλλά επαληθευμένους λογαριασμούς Ross Ulbricht στο X για να κατευθύνουν άτομα σε κακόβουλα κανάλια Telegram που παρουσιάζονται ως επίσημες πύλες Ulbricht.
Πηγή: BleepingComputer
Στο Telegram, οι χρήστες αντιμετωπίζονται με το λεγόμενο αίτημα επαλήθευσης ταυτότητας που ονομάζεται «Safeguard», το οποίο καθοδηγεί τους χρήστες στη διαδικασία ψεύτικης επαλήθευσης.
Πηγή: BleepingComputer
Στο τέλος, οι χρήστες εμφανίζονται α Μίνι εφαρμογή Telegram που εμφανίζει ένα ψεύτικο παράθυρο διαλόγου επαλήθευσης. Αυτή η μίνι εφαρμογή αντιγράφει αυτόματα μια εντολή PowerShell στο πρόχειρο της συσκευής και, στη συνέχεια, ζητά από τον χρήστη να ανοίξει το παράθυρο διαλόγου Εκτέλεση των Windows και να το επικολλήσει και να το εκτελέσει.
Πηγή: BleepingComputer
Ο κώδικας που αντιγράφηκε στο πρόχειρο κατεβάζει και εκτελεί ένα σενάριο PowerShell, το οποίο τελικά κατεβάζει ένα αρχείο ZIP στη διεύθυνση http://openline[.]εσυ.
Αυτό το αρχείο zip περιέχει πολλά αρχεία, συμπεριλαμβανομένου του ID-helper.exe [VirusTotal]που α σχόλιο στο VirusTotal υποδεικνύει ότι μπορεί να είναι φορτωτής Cobalt Strike.
Το Cobalt Strike είναι ένα εργαλείο δοκιμής διείσδυσης που χρησιμοποιείται συνήθως από φορείς απειλών για να αποκτήσουν απομακρυσμένη πρόσβαση στον υπολογιστή και στα δίκτυα στα οποία βρίσκονται. Αυτοί οι τύποι μολύνσεων είναι συνήθως πρόδρομος για επιθέσεις ransomware και κλοπής δεδομένων.
Η γλώσσα που χρησιμοποιείται σε όλη τη διαδικασία επαλήθευσης επιλέγεται προσεκτικά για να αποφευχθεί η δημιουργία υποψιών και να διατηρηθεί η ψευδής υπόθεση επαλήθευσης.
Οι χρήστες δεν πρέπει ποτέ να εκτελούν οτιδήποτε αντιγράφουν στο διαδίκτυο στο παράθυρο διαλόγου “Εκτέλεση” των Windows ή στο τερματικό PowerShell, εκτός εάν γνωρίζουν τι κάνουν.
Εάν δεν είστε σίγουροι για κάτι που αντιγράψατε στο πρόχειρό σας, επικολλήστε το σε ένα πρόγραμμα ανάγνωσης κειμένου και αναλύστε το περιεχόμενό του, με οποιαδήποτε σύγχυση θεωρείται κόκκινη σημαία.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
