- 19,454
- 40
- 8 Ноя 2022
Фальшивая верификация в мессенджере крадёт ваши данные.
Злоумышленники на платформе X* (ранее Twitter) используют недавние новости о Россе Ульбрихте для привлечения пользователей на мошеннический канал в Telegram. Там жертвам предлагают выполнить PowerShell-команды, которые заражают их устройства вредоносным ПО.
Атака, Для просмотра ссылки Войдиили Зарегистрируйся исследователями vx-underground, представляет собой новую вариацию тактики «Click-Fix», активно применяемой для распространения вредоносного ПО. В данном случае злоумышленники используют не «исправления ошибок», а фиктивную систему капчи или верификации, требующую запуска кода для подтверждения.
Ранее специалисты Guardio Labs и Infoblox Для просмотра ссылки Войдиили Зарегистрируйся о кампании, в которой под видом капчи пользователям предлагали выполнить PowerShell-команды для подтверждения, что они не являются ботами.
<h3>Приманка с Ульбрихтом</h3> Росса Ульбрихта, основателя печально известной даркнет-платформы Silk Road, используют как приманку. Silk Road действовал как центр торговли нелегальными товарами и услугами. В 2015 году Ульбрихта Для просмотра ссылки Войдиили Зарегистрируйся к пожизненному заключению, что вызвало споры из-за чрезмерной строгости наказания. На этой неделе Дональд Трамп, как и обещал ранее, Для просмотра ссылки Войди или Зарегистрируйся указ о помиловании Ульбрихта.
Злоумышленники воспользовались этим событием, создав фальшивые аккаунты Ульбрихта на X* и перенаправляя людей на мошеннические Telegram-каналы, замаскированные под официальные порталы.
Поддельный аккаунт Ульбрихта. Источник: Для просмотра ссылки Войдиили Зарегистрируйся
В Telegram мошенники предлагают пройти фальшивую верификацию под названием «Safeguard». Процесс включает использование мини-приложения Telegram, которое копирует вредоносный код PowerShell в буфер обмена устройства и убеждает пользователей вставить его в командную строку Windows и выполнить.
Инструкция для жертвы
После выполнения команда скачивает и запускает PowerShell-скрипт, который загружает ZIP-архив с сайта Для просмотра ссылки Войдиили Зарегистрируйся . В архиве содержится вредоносный файл identity-helper.exe, предположительно являющийся загрузчиком Cobalt Strike. Cobalt Strike часто используется Для просмотра ссылки Войди или Зарегистрируйся для получения удалённого доступа к компьютерам и сетям, что нередко предшествует атакам с применением программ-вымогателей и кражи данных.
Злоумышленники намеренно используют продуманный язык и убедительные формулировки, чтобы жертвы не заподозрили подвох.
Эксперты предупреждают: никогда не выполняйте команды, скопированные из Интернета, без Для просмотра ссылки Войдиили Зарегистрируйся их содержания. Если в тексте присутствует обфускация, это должно вызвать подозрения.
<span style="font-size: 8pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
Злоумышленники на платформе X* (ранее Twitter) используют недавние новости о Россе Ульбрихте для привлечения пользователей на мошеннический канал в Telegram. Там жертвам предлагают выполнить PowerShell-команды, которые заражают их устройства вредоносным ПО.
Атака, Для просмотра ссылки Войди
Ранее специалисты Guardio Labs и Infoblox Для просмотра ссылки Войди
<h3>Приманка с Ульбрихтом</h3> Росса Ульбрихта, основателя печально известной даркнет-платформы Silk Road, используют как приманку. Silk Road действовал как центр торговли нелегальными товарами и услугами. В 2015 году Ульбрихта Для просмотра ссылки Войди
Злоумышленники воспользовались этим событием, создав фальшивые аккаунты Ульбрихта на X* и перенаправляя людей на мошеннические Telegram-каналы, замаскированные под официальные порталы.
Поддельный аккаунт Ульбрихта. Источник: Для просмотра ссылки Войди
В Telegram мошенники предлагают пройти фальшивую верификацию под названием «Safeguard». Процесс включает использование мини-приложения Telegram, которое копирует вредоносный код PowerShell в буфер обмена устройства и убеждает пользователей вставить его в командную строку Windows и выполнить.
Инструкция для жертвы
После выполнения команда скачивает и запускает PowerShell-скрипт, который загружает ZIP-архив с сайта Для просмотра ссылки Войди
Злоумышленники намеренно используют продуманный язык и убедительные формулировки, чтобы жертвы не заподозрили подвох.
Эксперты предупреждают: никогда не выполняйте команды, скопированные из Интернета, без Для просмотра ссылки Войди
<span style="font-size: 8pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
- Источник новости
- www.securitylab.ru
