Telegram中文网讯:X 上的威胁行为者正在利用有关 Ross Ulbricht 的新闻,将毫无戒心的用户引导至 Telegram 频道,诱骗他们运行 PowerShell 代码,从而感染恶意软件。
这次攻击被 vx-underground 发现,是“ Click-Fix ”策略的新变种,该策略在过去一年中成为威胁行为者传播恶意软件的非常流行的手段。
然而,该变体并非针对常见错误的修复,而是假装是用户加入频道时必须运行的验证码或验证系统。
上个月,Guardio Labs 和 Infoblox 的研究人员披露了一项新活动,该活动利用 CAPTCHA 验证页面提示用户运行 PowerShell 命令来验证他们不是机器人。
丝绸之路创始人被用作诱饵
罗斯·乌布利希 (Ross Ulbricht) 是臭名昭著的暗网市场丝绸之路的创始人和主要运营商,该网站是买卖非法商品和服务的中心。
2015 年,这名男子被判处终身监禁,一些人认为这个判决过分,因为他只是协助犯罪,而不是亲自实施犯罪。
此前特朗普总统也表达了同样的看法,承诺一旦他成为美国总统就会特赦乌布利希,而昨天他兑现了这一承诺。
威胁行为者利用了这一进展,使用 X 上虚假但经过验证的 Ross Ulbricht 账户将人们引导至以官方 Ulbricht 门户为幌子的恶意 Telegram 频道。
在 Telegram 上,用户会遇到名为“Safeguard”的所谓身份验证请求,它会引导用户完成虚假的验证过程。
最后,用户会看到一个显示虚假验证对话框的Telegram 小程序 。该小程序会自动将 PowerShell 命令复制到设备的剪贴板中,然后提示用户打开 Windows 运行对话框并将其粘贴并运行。
复制到剪贴板的代码会下载并执行 PowerShell 脚本,该脚本最终会在 http://openline[.]cyou 下载一个 ZIP 文件。
该 zip 文件包含许多文件,包括identity-helper.exe [ VirusTotal ],VirusTotal 上的评论表明它可能是 Cobalt Strike 加载程序。
Cobalt Strike 是一种渗透测试工具,威胁行为者经常使用它来远程访问计算机及其所在的网络。这些类型的感染通常是勒索软件和数据盗窃攻击的前兆。
整个验证过程所使用的语言都经过精心选择,以防止引起怀疑并维持虚假的验证前提。
除非用户清楚自己在做什么,否则他们绝不应该在 Windows 的“运行”对话框或 PowerShell 终端中执行他们在线复制的任何内容。
如果对剪贴板上复制的内容不确定,请将其粘贴到文本阅读器上并分析其内容,任何混淆都被视为危险信号。
1 月 23 日更新 – Telegram 发言人向 BleepingComputer 发送了以下评论:
“Telegram 主动监控其平台的公共部分,包括机器人和小程序,并删除发现的有害内容。每天,版主都会删除数百万条违反 Telegram 服务条款的内容。” – Telegram 发言人