研究人员发现了一种新的恶意软件活动，利用假冒的Ross Ulbricht账户进行攻击。攻击者使用一种名为“Click-Fix”的策略，假装成验证系统，诱导受害者点击链接并感染设备。攻击者在社交平台X上冒充Ulbricht，通过假冒的验证过程将用户引导至Telegram频道，并要求他们运行PowerShell脚本，从而感染设备。此活动利用了Ulbricht被特朗普总统赦免后的新闻热点。

<p>罗斯·乌尔布里希特，这位备受争议的丝绸之路创始人，一直以来都是科技与犯罪活动交汇点讨论的核心。在美国总统唐纳德·特朗普给予他全面赦免后，一波新的网络犯罪活动随之而来，利用乌尔布里希特案件的新闻向毫无防备的目标传播恶意软件。</p><p>利用围绕他的新闻，威胁行为者在X上引导用户进入一个Telegram频道，用户在此被诱骗运行PowerShell脚本，从而使他们的设备感染恶意软件。</p><h2>罗斯·乌尔布里希特恶意软件活动</h2><p>根据vx-underground研究人员的最新更新，这次攻击使用了一种新变种的流行“Click-Fix”策略，但有所不同。这个版本并不是伪装成常见的错误修复，而是假装是加入频道所需的验证码或验证过程。</p><p>在这种情况下，网络罪犯利用在X上假冒但经过验证的账户冒充乌尔布里希特，以诱骗用户进入虚假声称为官方的Telegram频道。一旦进入Telegram，用户将面临一个欺诈性的“Safeguard”身份验证过程，这将引导他们到一个生成假验证对话框的迷你应用程序，并自动将PowerShell命令复制到他们的剪贴板。</p><p>随后，用户被指示通过Windows运行对话框执行该命令。因此，执行该命令会触发一系列事件。最初，它下载一个PowerShell脚本，该脚本从http://openline[.]cyou获取一个ZIP文件。该ZIP文件包含多个文件，其中包括identity-helper.exe，这被怀疑是一个Cobalt Strike加载程序——这是攻击者常用的远程访问工具，用于发起勒索软件或数据盗窃活动。</p><p>整个过程经过仔细措辞，以避免被检测。</p><h2>罗斯·乌尔布里希特获释</h2><p>这一发展发生在乌尔布里希特被赦免并于本周获释之后，此前他因创办和运营臭名昭著的暗网市场丝绸之路而被监禁自2013年起。</p><p>丝绸之路是一个位于Tor网络上的在线市场，允许人们交易非法物品，如毒品。</p>Ulbricht使用化名“Dread Pirate Roberts”运营该网站。FBI于2013年10月逮捕了他，并使该网站下线。</p><p>2015年，Ulbricht因包括毒品贩卖和洗钱在内的罪名被判有罪。他被判无期徒刑，不得假释，2017年和2018年的上诉也被拒绝了。</p>

假冒Ross Ulbricht账户的新型恶意软件活动