Les acteurs de la menace sur X exploitent les nouvelles autour de Ross Ulbricht pour diriger les utilisateurs sans méfiance vers un canal Telegram qui les incite à exécuter du code PowerShell qui les infecte avec des logiciels malveillants.
L’attaque, repérée par vx-underground, est une nouvelle variante de la tactique du » Click-Fix » qui est devenue très populaire parmi les acteurs de la menace pour distribuer des logiciels malveillants au cours de l’année écoulée.
Cependant, au lieu d’être des correctifs pour les erreurs courantes, cette variante prétend être un captcha ou un système de vérification que les utilisateurs doivent exécuter pour rejoindre le canal.
Le mois dernier, des chercheurs de Guardio Labs et des chercheurs d’Infoblox ont révélé une nouvelle campagne utilisant des pages de vérification CAPTCHA qui invitent les utilisateurs à exécuter des commandes PowerShell pour vérifier qu’ils ne sont pas un bot.
Créateur de la Route de la soie utilisé comme leurre
Ross Ulbricht est le fondateur et le principal opérateur du célèbre marché du dark Web Silk Road, qui servait de plaque tournante pour la vente et l’achat de biens et services illicites.
L’homme a été condamné à la prison à vie en 2015, ce que certains ont trouvé excessif étant donné qu’il facilitait les crimes et ne les menait pas personnellement.
Le président Trump avait précédemment exprimé la même opinion, promettant de gracier Ulbricht une fois qu’il serait devenu président des États-Unis, et hier, il a tenu cette promesse.
Les acteurs de la menace ont profité de ce développement, en utilisant des comptes Ross Ulbricht faux mais vérifiés sur X pour diriger les gens vers des canaux Telegram malveillants présentés comme des portails officiels d’Ulbricht.
Sur Telegram, les utilisateurs reçoivent une soi-disant demande de vérification d’identité nommée « Sauvegarde », qui guide les utilisateurs tout au long du faux processus de vérification.
À la fin, les utilisateurs voient une mini-application Telegram qui affiche une fausse boîte de dialogue de vérification. Cette mini-application copie automatiquement une commande PowerShell dans le presse-papiers de l’appareil, puis invite l’utilisateur à ouvrir la boîte de dialogue Exécuter Windows, à la coller et à l’exécuter.
Le code copié dans le presse-papiers télécharge et exécute un script PowerShell, qui télécharge éventuellement un fichier ZIP à http://openline [.] toi.
Ce fichier zip contient de nombreux fichiers, y compris identity-helper.exe [VirusTotal], dont un commentaire sur VirusTotal indique qu’il peut s’agir d’un chargeur d’attaque au cobalt.
Cobalt Strike est un outil de test d’intrusion couramment utilisé par les acteurs de la menace pour accéder à distance à l’ordinateur et aux réseaux sur lesquels ils résident. Ces types d’infections sont généralement un précurseur des ransomwares et des attaques de vol de données.
Le langage utilisé tout au long du processus de vérification est soigneusement sélectionné pour éviter de soulever des soupçons et maintenir la fausse prémisse de vérification.
Les utilisateurs ne doivent jamais exécuter quoi que ce soit qu’ils copient en ligne dans leur boîte de dialogue « Exécuter » Windows ou leur terminal PowerShell à moins qu’ils ne sachent ce qu’ils font.
Si vous n’êtes pas sûr de quelque chose que vous avez copié dans votre presse-papiers, collez-le sur un lecteur de texte et analysez son contenu, tout obscurcissement étant considéré comme un drapeau rouge.