X'teki tehdit aktörleri, şüphesiz kullanıcıları onları kötü amaçlı yazılımlarla bulaşan Run PowerShell koduna kandıran bir telgraf kanalına yönlendirmek için Ross Ulbricht çevresindeki haberleri kullanıyor.
VX-Underground tarafından tespit edilen saldırı, tehdit aktörleri arasında geçtiğimiz yıl boyunca kötü amaçlı yazılım dağıtmak için çok popüler hale gelen "tıklama sabiti" taktiğinin yeni bir çeşididir.
Bununla birlikte, ortak hatalar için düzeltmeler olmak yerine, bu varyant, kullanıcıların kanala katılmak için çalıştırması gereken bir captcha veya doğrulama sistemi gibi davranır.
Geçen ay, Guardio Labs ve Infoblox araştırmacıları araştırmacıları, kullanıcıları bot olmadıklarını doğrulamak için PowerShell komutlarını çalıştırmaya yönlendiren CAPTCHA doğrulama sayfalarını kullanan yeni bir kampanya açıkladılar.
Ross Ulbricht, yasadışı mal ve hizmetleri satmak ve satın almak için bir merkez görevi gören kötü şöhretli Dark Web Pazarı Silk Yolu'nun kurucusu ve ana operatörüdür.
Adam 2015 yılında hapse mahk wasm edildi, bazıları suçları kolaylaştırdığı ve onları kişisel olarak yürütmediği göz önüne alındığında aşırı buldu.
Başkan Trump daha önce aynı görüşü dile getirdi ve ABD başkanı olduktan sonra Ulbricht'i affetmeyi vaat etti ve dün bu sözü yerine getirdi.
Tehdit aktörleri, insanları resmi Ulbricht portalları olarak sunulan kötü niyetli telgraf kanallarına yönlendirmek için X üzerindeki sahte ama doğrulanmış Ross Ulbricht hesaplarını kullanarak bu gelişmeden yararlandı.
Telegram'da kullanıcılar, kullanıcıları sahte doğrulama sürecinde yürüten 'Safeguard' adlı kimlik doğrulama isteği ile karşılanır.
Sonunda, kullanıcılara sahte bir doğrulama iletişim kutusu görüntüleyen bir telgraf mini uygulaması gösterilir. Bu mini uygulama otomatik olarak bir PowerShell komutunu cihazın panosuna kopyalar ve ardından kullanıcıyı Windows Run iletişim kutusunu açıp yapıştırıp çalıştırmayı ister.
Kod, panoya kopyalandı ve sonunda http: // openline [.] Cyou adresinden bir zip dosyası indiren bir PowerShell betiği.
Bu zip dosyası, Virustotal hakkında bir yorumun bir kobalt grev yükleyici olabileceğini gösteren kimlik-helper.exe [virustotal] dahil olmak üzere çok sayıda dosya içerir.
Kobalt Strike, tehdit aktörleri tarafından bilgisayara ve bulundukları ağlara uzaktan erişim elde etmek için yaygın olarak kullanılan bir penetrasyon test aracıdır. Bu tür enfeksiyonlar genellikle fidye yazılımı ve veri hırsızlığı saldırılarının öncüsüdür.
Doğrulama süreci boyunca kullanılan dil, şüpheyi artırmayı önlemek ve yanlış doğrulama öncülünü korumak için dikkatle seçilir.
Kullanıcılar, ne yaptıklarını bilmedikçe Windows 'Run' diyalogunda veya PowerShell Terminalinde çevrimiçi olarak kopyaladıkları hiçbir şeyi yürütmemelidir.
Panonuza kopyaladığınız bir şeyden emin değilseniz, bir metin okuyucusuna yapıştırın ve içeriğini analiz edin, herhangi bir şaşkınlık kırmızı bayrak olarak kabul edilir.
GÜNCELLEME 1/23 - Bir telgraf sözcüsü BludeingComputer'a aşağıdaki yorumu gönderdi: "Telegram, botlar ve mini uygulamalar da dahil olmak üzere platformunun ortak kısımlarını proaktif olarak izler ve keşfedildiğinde zararlı içeriği kaldırır. Her gün moderatörler Telegram'ın hizmet şartlarını ihlal eden milyonlarca içeriği kaldırır." - Telegram Sözcüsü
Kötü niyetli reklamlar sahte captcha sayfaları aracılığıyla lumma infostealer'ı itiyor
Telegram Premium uygulaması olarak yeni Firescam Android veri-hırsızlığı kötü amaçlı yazılım pozları
Yüzlerce sahte reddit sitesi Lumma Stealer kötü amaçlı yazılım
20 $ Windows PowerShell Eğitimiyle İdari Çalışmayı Otomatikleştirin
Sahte Homebrew Google Reklamlar Mac kullanıcılarını kötü amaçlı yazılımlarla hedefleyin
Kaynak: Bleeping Computer