研究により、偽のRoss Ulbrichtアカウントを利用した新たなマルウェアキャンペーンが発見されました。攻撃者は「Click-Fix」という戦略を採用し、検証システムを装って被害者を誘導し、リンクをクリックさせてデバイスを感染させます。攻撃者はソーシャルプラットフォームX上でUlbrichtに成りすまし、詐欺的な検証プロセスを通じてユーザーをTelegramチャンネルに誘導し、デバイスを感染させるためにPowerShellスクリプトを実行するように求めています。このキャンペーンは、Ulbrichtがトランプ大統領により恩赦された後のニュースの盛り上がりを利用しています。

<p>Ross Ulbricht、物議を醸すシルクロードの創設者は、テクノロジーと犯罪活動の交差点についての議論の中心に長く位置してきました。米国のドナルド・トランプ大統領から完全な恩赦を受けた後、ウルブリヒトの事件に関するニュースを利用して、無防備なターゲットにマルウェアを届ける新たなサイバー犯罪の波が現れました。</p><p>彼に関するニュースを利用して、X上の脅威アクターたちは、ユーザーをTelegramチャンネルにリダイレクトし、PowerShellスクリプトを実行させてデバイスにマルウェアを感染させるように騙しています。</p><h2>Ross Ulbricht マルウェアキャンペーン</h2><p>vx-undergroundの研究者たちの最新のアップデートによれば、攻撃は人気のある「Click-Fix」戦術の新しいバリエーションを使用していますが、ひねりが加えられています。このバージョンは、一般的なエラー修正として自らを偽装するのではなく、チャンネルに参加するために必要なcaptchaまたは検証プロセスを装っています。</p><p>この場合、サイバー犯罪者たちは、X上の偽のが確認済みアカウントを使用してウルブリヒトを偽装し、公式と偽って主張されたTelegramチャンネルにユーザーを誘導しています。Telegramに入ると、ユーザーは詐欺的な「Safeguard」本人確認プロセスに直面し、それが偽の確認ダイアログを生成するミニアプリに導かれ、PowerShellコマンドをクリップボードに自動的にコピーします。</p><p>その後、ユーザーはWindowsの実行ダイアログを介してコマンドを実行するように指示されます。したがって、コマンドを実行すると、一連のイベントが引き起こされます。最初に、PowerShellスクリプトがダウンロードされ、http://openline[.]cyouからZIPファイルが取得されます。このZIPファイルには、Cobalt Strikeローダーと疑われるidentity-helper.exeなどのいくつかのファイルが含まれています。これは、攻撃者がリモートアクセスやランサムウェアまたはデータ盗難キャンペーンを起動するために頻繁に使用するツールです。</p><p>このプロセス全体は、検出を回避するために慎重に言葉が選ばれています。</p><h2>Ross Ulbricht 解放</h2><p>この発展は、ウルブリヒトが恩赦を受け、2013年からシルクロードという悪名高いダークウェブマーケットプレイスを設立・運営していたために投獄されていた後、今週解放されたことに続くものです。</p><p>シルクロードは、違法な商品、例えば麻薬を取引することを許可したTorネットワーク上のオンラインマーケットプレイスでした。ウルブリヒトは「Dread Pirate Roberts」という仮名を使用してサイトを運営していました。FBIは2013年10月に彼を逮捕し、サイトをオフラインにしました。</p><p>2015年には、ウルブリヒトは薬物配布やマネーロンダリングを含む罪で有罪判決を受けました。彼は仮釈放なしの終身刑を言い渡され、2017年および2018年の控訴は却下されました。</p>

ロス・ウルブリヒトのアカウントを偽装する新しいマルウェア活動