Pesquisas descobriram uma nova campanha de malware que explora uma conta falsa de Ross Ulbricht para ataques. Os atacantes empregam uma estratégia chamada "Click-Fix", fazendo-se passar por um sistema de verificação para atrair vítimas a clicarem em links que infectam seus dispositivos. Os atacantes imitam Ulbricht na plataforma social X, orientando os usuários a um canal do Telegram por meio de um processo fraudulento de verificação e pedindo que eles executem scripts do PowerShell para infectar seus dispositivos. Esta campanha se aproveita da repercussão das notícias após o perdão de Ulbricht pelo Presidente Trump.

<p>Ross Ulbricht, o controverso criador da Silk Road, tem estado no centro de debates sobre a interseção entre tecnologia e atividade criminosa. Após um perdão total do presidente dos EUA, Donald Trump, uma nova onda de cibercrime surgiu, aproveitando-se das notícias sobre o caso de Ulbricht para entregar malware a alvos desavisados.</p><p>Explorando as notícias que o cercam, atores de ameaça no X estão redirecionando usuários para um canal no Telegram onde são enganados a executar scripts PowerShell que infectam seus dispositivos com malware.</p><h2>Campanha de Malware de Ross Ulbricht</h2><p>De acordo com a atualização mais recente dos pesquisadores da vx-underground, o ataque utiliza uma nova variação da popular tática “Click-Fix”, mas com uma reviravolta. Em vez de se disfarçar como uma correção de erro comum, esta versão finge ser um captcha ou um processo de verificação necessário para ingressar no canal.</p><p>Neste caso, cibercriminosos estão se passando por Ulbricht utilizando contas falsas, mas verificadas, no X para atrair usuários para canais no Telegram que afirmam falsamente serem oficiais. Uma vez no Telegram, os usuários encontram um fraudulento processo de verificação de identidade “Safeguard”, que os leva a um mini aplicativo que gera um diálogo de verificação falso e copia automaticamente um comando PowerShell para a área de transferência.</p><p>Os usuários são então instruídos a executar o comando através do diálogo Executar do Windows. Assim, a execução do comando desencadeia uma cadeia de eventos. Inicialmente, ele baixa um script PowerShell, que recupera um arquivo ZIP de http://openline[.]cyou. O arquivo ZIP contém vários arquivos, incluindo identity-helper.exe, suspeito de ser um carregador Cobalt Strike – uma ferramenta frequentemente usada por atacantes para acesso remoto e lançamento de campanhas de ransomware ou roubo de dados.</p><p>Todo o processo é cuidadosamente elaborado para evitar detecção.</p><h2>Ross Ulbricht Libertado</h2><p>Esse desenvolvimento ocorre após Ulbricht ter sido perdoado e libertado esta semana, após estar preso desde 2013 por fundar e operar o infame mercado da dark web Silk Road.</p><p>A Silk Road era um mercado online na rede Tor que permitia às pessoas negociar itens ilegais, como narcóticos. Ulbricht operava o site sob o pseudônimo “Dread Pirate Roberts.” O FBI o prendeu em outubro de 2013 e tirou o site do ar.</p><p>Em 2015, Ulbricht foi considerado culpado de acusações, incluindo distribuição de drogas e lavagem de dinheiro. Ele recebeu uma sentença de prisão perpétua sem possibilidade de liberdade condicional, e seus recursos em 2017 e 2018 foram negados.</p>

Nova atividade de malware se passando por contas de Ross Ulbricht