研究人員發現了一種新的惡意軟件活動，利用假冒的Ross Ulbricht賬戶進行攻擊。攻擊者使用一種名爲“Click-Fix”的策略，假裝成驗證系統，誘導受害者點擊鏈接並感染設備。攻擊者在社交平臺X上冒充Ulbricht，通過假冒的驗證過程將用戶引導至Telegram頻道，並要求他們運行PowerShell腳本，從而感染設備。此活動利用了Ulbricht被特朗普總統赦免後的新聞熱點。

<p>羅斯·烏爾布裏希特，這位備受爭議的絲綢之路創始人，一直以來都是科技與犯罪活動交匯點討論的核心。在美國總統唐納德·特朗普給予他全面赦免後，一波新的網絡犯罪活動隨之而來，利用烏爾布裏希特案件的新聞向毫無防備的目標傳播惡意軟件。</p><p>利用圍繞他的新聞，威脅行爲者在X上引導用戶進入一個Telegram頻道，用戶在此被誘騙運行PowerShell腳本，從而使他們的設備感染惡意軟件。</p><h2>羅斯·烏爾布裏希特惡意軟件活動</h2><p>根據vx-underground研究人員的最新更新，這次攻擊使用了一種新變種的流行“Click-Fix”策略，但有所不同。這個版本並不是僞裝成常見的錯誤修復，而是假裝是加入頻道所需的驗證碼或驗證過程。</p><p>在這種情況下，網絡罪犯利用在X上假冒但經過驗證的賬戶冒充烏爾布裏希特，以誘騙用戶進入虛假聲稱爲官方的Telegram頻道。一旦進入Telegram，用戶將面臨一個欺詐性的“Safeguard”身份驗證過程，這將引導他們到一個生成假驗證對話框的迷你應用程序，並自動將PowerShell命令復制到他們的剪貼板。</p><p>隨後，用戶被指示通過Windows運行對話框執行該命令。因此，執行該命令會觸發一系列事件。最初，它下載一個PowerShell腳本，該腳本從http://openline[.]cyou獲取一個ZIP文件。該ZIP文件包含多個文件，其中包括identity-helper.exe，這被懷疑是一個Cobalt Strike加載程序——這是攻擊者常用的遠程訪問工具，用於發起勒索軟件或數據盜竊活動。</p><p>整個過程經過仔細措辭，以避免被檢測。</p><h2>羅斯·烏爾布裏希特獲釋</h2><p>這一發展發生在烏爾布裏希特被赦免並於本周獲釋之後，此前他因創辦和運營臭名昭著的暗網市場絲綢之路而被監禁自2013年起。</p><p>絲綢之路是一個位於Tor網絡上的在線市場，允許人們交易非法物品，如毒品。</p>Ulbricht使用化名“Dread Pirate Roberts”運營該網站。FBI於2013年10月逮捕了他，並使該網站下線。</p><p>2015年，Ulbricht因包括毒品販賣和洗錢在內的罪名被判有罪。他被判無期徒刑，不得假釋，2017年和2018年的上訴也被拒絕了。</p>

假冒Ross Ulbricht賬戶的新型惡意軟件活動