Хитрая капча в Telegram: мошенники используют PowerShell для установки вирусов
Казалось бы, причём тут имя одного преступника и негодяя?
Злоумышленники в X (ранее Twitter) используют ажиотаж вокруг Росса Ульбрихта, чтобы заманить ничего не подозревающих пользователей в Telegram-канал. Там им предлагается пройти «проверку личности» с помощью PowerShell, что приводит к заражению устройства вредоносным кодом.
Этот метод, замеченный экспертами vx-underground, является новой вариацией тактики «Click-Fix», популярной у киберпреступников для распространения зловредов в последний год. Однако, вместо исправления ошибок, новая уловка маскируется под систему капчи или верификации, которую якобы нужно пройти для доступа к каналу. Вредоносная кампания эксплуатирует имя создателя Silk Road. Росс Ульбрихт — основатель и главный оператор запрещённого даркнет-маркетплейса Silk Road, площадки для торговли запрещёнными товарами и услугами. В 2015 году Ульбрихт был приговорён к пожизненному заключению.
Ранее президент Трамп пообещал помиловать Ульбрихта, и накануне он выполнил своё обещание. Киберпреступники, пользуясь этим, направляют людей в поддельные Telegram-каналы, выдаваемые за официальные порталы Ульбрихта, через фейковые, но верифицированные аккаунты в X.
В конце «верификации» Telegram показывает мини-приложение с поддельным диалогом. Оно автоматически копирует в буфер обмена команду PowerShell и предлагает пользователю открыть диалоговое окно «Выполнить» в Windows, вставить её туда и запустить.
В прошлом месяце исследователи из Guardio Labs и Infoblox обнаружили кампанию, использующую страницы верификации CAPTCHA. Они предлагают пользователям выполнить команды PowerShell, чтобы подтвердить, что они не боты.
Скопированный код загружает и выполняет PowerShell-скрипт, который скачивает ZIP-архив с вредоносным содержимым по адресу http://openline\[.\]cyou. Этот архив содержит множество файлов, включая identity-helper.exe, который, по данным VirusTotal, может быть загрузчиком Cobalt Strike. Это инструмент для тестирования на проникновение, часто используемый хакерами для удалённого доступа к устройствам и сетям. Подобные заражения часто предшествуют атакам программ-вымогателей и краже данных.
Пользователям ни в коем случае нельзя выполнять код, скопированный из интернета, в диалоговом окне «Выполнить» Windows или в терминале PowerShell, если они не уверены в своих действиях. Если есть сомнения относительно содержимого буфера обмена, следует вставить его в текстовый редактор и изучить. Любые попытки запутать или скрыть код должны вызывать подозрения.
