Исследования выявили новую кампанию по распространению вредоносного ПО, которая использует фальшивый аккаунт Росса Ульбрихта для атак. Злоумышленники применяют стратегию под названием "Click-Fix", выдавая себя за систему верификации, чтобы заманить жертв кликнуть на ссылки, которые заражают их устройства. Они выдают себя за Ульбрихта на социальной платформе X, направляя пользователей в канал Telegram через поддельный процесс верификации и прося их запустить скрипты PowerShell для заражения их устройств. Эта кампания использует новостной ажиотаж, возникший после помилования Ульбрихта Президентом Трампом.

<p>Росс Ульбрихт, спорный создатель Silk Road, долгое время находится в центре дебатов о пересечении технологий и преступной деятельности. После полного помилования от президента США Дональда Трампа, возникла новая волна киберпреступности, использующая новости о деле Ульбрихта для распространения вредоносного ПО среди ничего не подозревающих жертв.</p><p>Воспользовавшись новостями вокруг него, злоумышленники в X перенаправляют пользователей на канал в Telegram, где те обманом заставляются запускать скрипты PowerShell, которые заражают их устройства вредоносным ПО.</p><h2>Кампания вредоносного ПО Ульбрихта</h2><p>Согласно последнему обновлению исследователей vx-underground, атака использует новую вариацию популярной тактики “Click-Fix”, но с изюминкой. Вместо того, чтобы маскироваться под обычное исправление ошибки, эта версия притворяется капчей или процессом верификации, необходимым для вступления в канал.</p><p>В данном случае киберпреступники impersonируют Ульбрихта, используя фальшивые, но верифицированные аккаунты в X, чтобы заманить пользователей в Telegram-каналы, которые ошибочно заявляют о своей официальности. Как только пользователи попадают в Telegram, они сталкиваются с мошенническим процессом верификации идентичности “Safeguard”, который ведет их к мини-приложению, создающему поддельный диалог верификации и автоматически копирующему команду PowerShell в буфер обмена.</p><p>Пользователям затем предлагается выполнить команду через диалоговое окно выполнения Windows. Таким образом, выполнение команды запускает цепь событий. Сначала она загружает скрипт PowerShell, который получает ZIP-архив с http://openline[.]cyou. ZIP-файл содержит несколько файлов, включая identity-helper.exe, который подозревается как загрузчик Cobalt Strike – инструмента, часто используемого злоумышленниками для удаленного доступа и запуска кампаний по вымогательству или краже данных.</p><p>Весь процесс тщательно сформулирован, чтобы избежать обнаружения.</p><h2>Ульбрихт освобожден</h2><p>Это событие произошло после того, как Ульбрихт был помилован и освобожден на этой неделе, после того как он находился в тюрьме с 2013 года за создание и управление печально известной торговой площадкой в темной сети Silk Road.</p><p>Silk Road был онлайн-рынком в сети Tor, который позволял людям торговать незаконными предметами, такими как наркотики. Ульбрихт управлял сайтом, используя псевдоним “Dread Pirate Roberts.” ФБР арестовало его в октябре 2013 года и отключило сайт.</p><p>В 2015 году Ульбрихт был признан виновным по обвинениям, включая распространение наркотиков и отмывание денег. Он получил пожизненный срок без права на досрочное освобождение, а его апелляции в 2017 и 2018 годах были отклонены.</p>

Активность нового вредоносного ПО, выдающего себя за аккаунты Росса Ульбрихта.