Хакеры используют имя Росса Ульбрихта для атак на пользователей

Хакеры используют имя Росса Ульбрихта для атак на пользователей

Источник: www.bleepingcomputer.com

Последние события вокруг Росса Ульбрихта становятся причиной активации новой волны кибератак. Хакеры используют информацию о его персоне для обмана пользователей платформы X, направляя их на опасные каналы Telegram.

Схема атаки

Атака благоразумно замаскирована под официальный контент, принуждая ничего не подозревающих пользователей запускать вредоносный код. Основные этапы атаки выглядят следующим образом:

  • Пользователи перенаправляются на поддельные каналы Telegram с аккаунтами, выдающими себя за Росса Ульбрихта.
  • Им предлагают пройти фиктивную процедуру проверки личности, получившую название «Safeguard».
  • После якобы успешного завершения проверки, пользователям предоставляется мини-приложение Telegram.
  • Это приложение автоматически копирует команду PowerShell и призывает пользователя вставить и выполнить её в «Выполнить» Windows.

Последствия выполнения кода

Выполнение данной команды приводит к загрузке и запуску скрипта PowerShell, который при этом извлекает ZIP-файл с адреса openline.cyou. Внутри файла содержатся различные элементы, включая identity-helper.exe, который может выступать в роли загрузчика Cobalt Strike.

О угрозе

Cobalt Strike — это инструмент, широко используемый хакерами для тестирования на проникновение и установления удаленного доступа к скомпрометированным системам, что часто предшествует более серьезным атакам, включая программы-вымогатели и утечки данных.

Пользовательские рекомендации:

  • Не запускайте команды, скопированные из неизвестных источников, если не понимаете их последствия.
  • Будьте осторожны при взаимодействии с незнакомым контентом в Интернете.

Меры Telegram

Представитель Telegram, в своем обновлении от 23 января, отметил:

«Мы проактивно мониторим публичные платформыTelegram, включая боты и мини-приложения. Наша приверженность к оперативному удалению вредоносного контента помогает нам поддерживать безопасную среду для пользователей.»

Модераторы Telegram ежедневно удаляют миллионы фрагментов контента, нарушающих условия использования, что подчеркивает их целеустремленность к безопасному пространству для всех пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: