Cybercriminosos estão explorando as notícias sobre Ross Ulbricht para direcionar usuários desavisados para um canal no Telegram, enganando-os para executarem código PowerShell que os infecta com malware.
O ataque, identificado pela vx-underground, é uma nova variante da tática "Click-Fix", que tem se tornado muito popular entre os atacantes para distribuir malware ao longo do último ano.
No entanto, ao invés de serem correções para erros comuns, esta variante finge ser um sistema de captcha ou de verificação que os usuários devem executar para se juntar ao canal.
No mês passado, pesquisadores da Guardio Labs e da Infoblox revelaram uma nova campanha que utilizava páginas de verificação CAPTCHA que induziam os usuários a executar comandos PowerShell para verificar se não eram bots.
Ross Ulbricht é o fundador e principal operador do notório marketplace da dark web Silk Road, que servia como um centro para venda e compra de bens e serviços ilícitos.
O homem foi condenado à prisão perpétua em 2015, uma sentença que alguns consideraram excessiva dado que ele facilitou crimes, mas não os cometeu pessoalmente.
O presidente Trump anteriormente expressou a mesma opinião, prometendo perdoar Ulbricht uma vez que se tornasse presidente dos EUA, e ontem, ele cumpriu esta promessa.
Os atacantes aproveitaram esse desenvolvimento, usando contas falsas, mas verificadas de Ross Ulbricht no X para direcionar as pessoas a canais maliciosos no Telegram apresentados como portais oficiais de Ulbricht.
No Telegram, os usuários se deparam com uma suposta solicitação de verificação de identidade chamada 'Safeguard', que os orienta através do falso processo de verificação.
Ao final, os usuários veem um mini aplicativo do Telegram que exibe um diálogo de verificação falso.
Este mini aplicativo automaticamente copia um comando PowerShell para a área de transferência do dispositivo e, em seguida, solicita que o usuário abra o diálogo de execução do Windows e cole e execute o comando.
O código copiado para a área de transferência faz o download e executa um script PowerShell, que eventualmente baixa um arquivo ZIP em http://openline[.]cyou.
Este arquivo ZIP contém vários arquivos, incluindo identity-helper.exe [VirusTotal], que um comentário no VirusTotal indica que pode ser um carregador de Cobalt Strike.
Cobalt Strike é uma ferramenta de teste de penetração comumente usada por atacantes para obter acesso remoto ao computador e às redes onde residem.
Esse tipo de infecção é comumente um precursor de ataques de ransomware e furto de dados.
A linguagem usada ao longo do processo de verificação é cuidadosamente selecionada para evitar levantar suspeitas e manter a premissa falsa de verificação.
Usuários nunca devem executar algo que copiaram online no diálogo 'Executar' do Windows ou no terminal PowerShell, a menos que saibam o que estão fazendo.
Se estiver inseguro sobre algo que copiou na sua área de transferência, cole-o em um leitor de texto e analise seu conteúdo, considerando qualquer ofuscação como um sinal de alerta.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...