La investigación ha descubierto una nueva campaña de malware que explota una cuenta falsa de Ross Ulbricht para realizar ataques. Los atacantes emplean una estrategia llamada "Click-Fix", haciéndose pasar por un sistema de verificación para atraer a las víctimas a hacer clic en enlaces que infectan sus dispositivos. Los atacantes suplantan a Ulbricht en la plataforma social X, guiando a los usuarios a un canal de Telegram a través de un proceso de verificación fraudulento, y pidiéndoles que ejecuten scripts de PowerShell para infectar sus dispositivos. Esta campaña capitaliza el revuelo mediático tras el indulto de Ulbricht por parte del presidente Trump.

<p>Ross Ulbricht, el controvertido creador de Silk Road, ha estado en el centro de debates sobre la intersección de la tecnología y la actividad criminal. Tras un indulto total del presidente de EE. UU., Donald Trump, ha surgido una nueva ola de ciberdelincuencia que aprovecha las noticias sobre el caso de Ulbricht para entregar malware a objetivos desprevenidos.</p><p>Explotando las noticias a su alrededor, actores de amenazas en X están redirigiendo a los usuarios a un canal de Telegram donde son engañados para ejecutar scripts de PowerShell que infectan sus dispositivos con malware.</p><h2>Campaña de Malware de Ross Ulbricht</h2><p>Según la última actualización de los investigadores de vx-underground, el ataque utiliza una nueva variación de la táctica popular "Click-Fix", pero con un giro. En lugar de disfrazarse como una solución de error común, esta versión finge ser un captcha o un proceso de verificación requerido para unirse al canal.</p><p>En este caso, los ciberdelincuentes están suplantando a Ulbricht utilizando cuentas falsas pero verificadas en X para atraer a los usuarios a canales de Telegram falsamente reclamados como oficiales. Una vez en Telegram, los usuarios se encuentran con un fraudulento proceso de verificación de identidad "Safeguard", que los lleva a una mini aplicación que genera un diálogo de verificación falso y copia automáticamente un comando de PowerShell en su portapapeles.</p><p>A continuación, se instruye a los usuarios a ejecutar el comando a través del cuadro de diálogo Ejecutar de Windows. De este modo, ejecutar el comando desencadena una cadena de eventos. Inicialmente, descarga un script de PowerShell, que recupera un archivo ZIP de http://openline[.]cyou. El archivo ZIP contiene varios archivos, incluyendo identity-helper.exe, que se sospecha que es un cargador de Cobalt Strike, una herramienta utilizada frecuentemente por atacantes para el acceso remoto y el lanzamiento de campañas de ransomware o robo de datos.</p><p>Todo el proceso está cuidadosamente redactado para evitar la detección.</p><h2>Ross Ulbricht Liberado</h2><p>Este desarrollo se produce después de que Ulbricht fue indultado y liberado esta semana tras haber estado encarcelado desde 2013 por fundar y operar el infame mercado de la dark web Silk Road.</p><p>Silk Road era un mercado en línea en la red Tor que permitía a las personas comerciar artículos ilegales, como narcóticos. Ulbricht operaba el sitio bajo el seudónimo "Dread Pirate Roberts". El FBI lo arrestó en octubre de 2013 y sacó el sitio de línea.</p><p>En 2015, Ulbricht fue declarado culpable de cargos que incluían distribución de drogas y lavado de dinero. Recibió una sentencia de cadena perpetua sin posibilidad de libertad condicional, y sus apelaciones en 2017 y 2018 fueron denegadas.</p>

Nueva actividad de malware suplantando cuentas de Ross Ulbricht