Хакерские атаки продолжают эволюционировать, и одним из последних примеров является использование новости о помиловании Росса Ульбрихта в криминальных целях. Специалисты по безопасности из VX-underground первыми заметили, как злоумышленники начали заманивать жертв в Telegram-канал, где они безжалостно заставляют пользователей выполнять вредоносный PowerShell-код. Это связано с новыми тактиками, относящимися к типу ClickFix, и представляет собой значительную угрозу для интернет-пользователей.

Недавно президент США Дональд Трамп принял решение о помиловании Росса Ульбрихта, основателя знаменитого даркнет-маркетплейса Silk Road, закрытого в 2013 году. Хакеры воспользовались этой новостью, создавая поддельные страницы и аккаунты в социальных сетях, маскируясь под движение Free Ross. В результате, пользователи, переходящие по ссылкам, оказываются в фальшивых Telegram-каналах, где им предлагается пройти проверку через якобы официальный бот под названием Safeguard Captcha.

При взаимодействии с такими ресурсами, пользователи сталкиваются с сообщением о необходимости подтверждения своей личности. Однако на самом деле злоумышленники подменяют это требование на выполнение вредоносного кода. После того как жертва попадает в ловушку и открывает Windows Run, скопированный PowerShell-командой код начинает действовать, загружая ZIP-архив с интернет-ресурса openline[.]cyou, который содержит вредоносные файлы, включая загрузчик Cobalt Strike.

Cobalt Strike – это инструмент пентестинга, часто используемый злоумышленниками для удалённого доступа к системам. Каждый такой случай может предшествовать серьезным атакам, включая вымогательство и кражу данных. Кроме того, данные исследования Bleeping Computer говорят о том, что подобные действия происходят из-за активного распространения фальшивых учётных записей в X (бывший Twitter).

Киберспециалисты настоятельно призывают пользователей проявлять бдительность и ни в коем случае не запускать команды, скопированные из интернета, в Windows Run или PowerShell, особенно если они не понимают назначение таких команд. Также любое подозрительное поведение, связанное с обфускацией кода, должно вызывать недоверие.

Эксперты рекомендуют пользователям проверять код, вставляя его в текстовые редакторы, а не запускать в терминале, чтобы избежать заражения. Кроме того, кибертехники предостерегают, что в последнее время также участились случаи атак через QR-коды в Telegram, что подчеркивает важность установки двухфакторной аутентификации и внимательности к ссылкам, на которые ведут QR-коды.

В условиях растущих киберугроз необходимо помнить о безопасности в сети и быть готовыми к возможным манипуляциям со стороны мошенников.