Nghiên cứu đã phát hiện ra một chiến dịch malware mới khai thác tài khoản giả mạo của Ross Ulbricht để thực hiện các cuộc tấn công. Những kẻ tấn công sử dụng một chiến lược mang tên "Click-Fix," giả mạo hệ thống xác minh nhằm dụ dỗ nạn nhân nhấp vào các liên kết làm nhiễm độc thiết bị của họ. Những kẻ tấn công mạo danh Ulbricht trên nền tảng xã hội X, hướng dẫn người dùng đến một kênh Telegram thông qua một quy trình xác minh giả mạo, và yêu cầu họ chạy các script PowerShell để làm nhiễm thiết bị của mình. Chiến dịch này tận dụng sự chú ý của dư luận sau khi Ulbricht được Tổng thống Trump ân xá.

<p>Ross Ulbricht, người sáng lập gây tranh cãi của Silk Road, từ lâu đã là trung tâm của các cuộc tranh luận về giao điểm giữa công nghệ và hoạt động tội phạm. Sau khi nhận được ân xá từ Tổng thống Mỹ Donald Trump, một làn sóng tội phạm mạng mới đã xuất hiện, khai thác tin tức về vụ việc của Ulbricht để phát tán phần mềm độc hại đến những mục tiêu không nghi ngờ.</p><p>Khai thác thông tin xung quanh ông, các tác nhân đe dọa trên X đang chuyển hướng người dùng đến một kênh Telegram, nơi họ bị lừa để chạy các script PowerShell làm nhiễm độc thiết bị của họ với phần mềm độc hại.</p><h2>Chiến dịch Phần mềm độc hại của Ross Ulbricht</h2><p>Theo cập nhật mới nhất từ các nhà nghiên cứu vx-underground, cuộc tấn công sử dụng một biến thể mới của chiến thuật “Click-Fix” phổ biến, nhưng có một điểm khác biệt. Thay vì ngụy trang như một bản sửa lỗi thông thường, phiên bản này giả vờ là một quy trình captcha hoặc xác minh cần thiết để tham gia kênh.</p><p>Trong trường hợp này, tội phạm mạng đang giả mạo Ulbricht bằng cách sử dụng các tài khoản giả nhưng đã được xác minh trên X để dụ dỗ người dùng đến các kênh Telegram mà họ tuyên bố sai là chính thức. Khi vào Telegram, người dùng gặp phải một quy trình xác minh danh tính “Safeguard” giả mạo, dẫn họ đến một ứng dụng nhỏ tạo ra một hộp thoại xác minh giả và tự động sao chép một lệnh PowerShell vào clipboard của họ.</p><p>Người dùng sau đó được hướng dẫn chạy lệnh qua hộp thoại Run của Windows. Do đó, việc thực thi lệnh này kích hoạt một chuỗi sự kiện. Ban đầu, nó tải xuống một script PowerShell, script này lấy một file ZIP từ http://openline[.]cyou. File ZIP này chứa nhiều file, bao gồm identity-helper.exe, nghi ngờ là một trình tải Cobalt Strike – một công cụ thường được các kẻ tấn công sử dụng để truy cập từ xa và khởi động các chiến dịch ransomware hoặc đánh cắp dữ liệu.</p><p>Toàn bộ quy trình được diễn đạt một cách cẩn thận để tránh bị phát hiện.</p><h2>Ross Ulbricht được thả tự do</h2><p>Diễn biến này xảy ra sau khi Ulbricht được ân xá và thả tự do trong tuần này sau khi bị giam giữ từ năm 2013 vì đã thành lập và điều hành chợ đen nổi tiếng Silk Road.</p><p>Silk Road là một chợ trực tuyến trên mạng Tor cho phép mọi người giao dịch các mặt hàng bất hợp pháp, chẳng hạn như ma túy. Ulbricht đã điều hành trang web này dưới bí danh “Dread Pirate Roberts.” FBI đã bắt giữ ông vào tháng 10 năm 2013 và đưa trang web này offline.</p><p>Năm 2015, Ulbricht bị kết tội với các cáo buộc bao gồm phân phối ma túy và rửa tiền. Ông nhận án tù chung thân không được ân xá, và các đơn kháng cáo của ông vào năm 2017 và 2018 đã bị từ chối.</p>

Hoạt động phần mềm độc hại mới giả mạo tài khoản của Ross Ulbricht