Captcha de Telegram engaña para que se ejecute scripts maliciosos de PowerShell

Iniciado por AXCESS, Enero 23, 2025, 05:22:27 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 23, 2025, 05:22:27 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas en X están explotando las noticias sobre Ross Ulbricht para dirigir a los usuarios desprevenidos a un canal de Telegram que los engaña para que ejecuten el código de PowerShell que los infecta con malware.

El ataque, detectado por vx-underground, es una nueva variante de la táctica "Click-Fix" que se ha vuelto muy popular entre los actores de amenazas para distribuir malware durante el año pasado.

Sin embargo, en lugar de ser soluciones para errores comunes, esta variante pretende ser un captcha o sistema de verificación que los usuarios deben ejecutar para unirse al canal.

El mes pasado, los investigadores de Guardio Labs e Infoblox revelaron una nueva campaña que utilizaba páginas de verificación CAPTCHA que solicitaban a los usuarios que ejecutaran comandos de PowerShell para verificar que no son un bot.

El creador de Silk Road fue utilizado como cebo

Ross Ulbricht es el fundador y principal operador del notorio mercado de la dark web Silk Road, que actuó como centro de venta y compra de bienes y servicios ilícitos.

El hombre fue sentenciado a cadena perpetua en 2015, lo que algunos consideraron excesivo dado que facilitó los delitos y no los llevó a cabo personalmente.

El presidente Trump expresó anteriormente la misma opinión, prometiendo indultar a Ulbricht una vez que se convirtiera en presidente de los EE. UU., y cumplió su promesa.

Los actores de amenazas se aprovecharon de este desarrollo, utilizando cuentas falsas pero verificadas de Ross Ulbricht en X para dirigir a las personas a canales maliciosos de Telegram presentados como portales oficiales de Ulbricht.

En Telegram, los usuarios se encuentran con una solicitud de verificación de identidad denominada "Safeguard", que guía a los usuarios a través del proceso de verificación falso.

Presentando el cebo de verificación de identidad
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al final, se muestra a los usuarios una miniaplicación de Telegram que muestra un cuadro de diálogo de verificación falso. Esta miniaplicación copia automáticamente un comando de PowerShell en el portapapeles del dispositivo y luego solicita al usuario que abra el cuadro de diálogo Ejecutar de Windows, lo pegue y lo ejecute.

Instrucciones dadas a las víctimas
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El código copiado al portapapeles descarga y ejecuta un script de PowerShell, que finalmente descarga un archivo ZIP en http://openline[.]cyou.

Este archivo zip contiene numerosos archivos, incluido identity-helper.exe [VirusTotal], que un comentario en VirusTotal indica que puede ser un cargador de Cobalt Strike.

Cobalt Strike es una herramienta de prueba de penetración que suelen utilizar los actores de amenazas para obtener acceso remoto a las computadoras y las redes en las que residen. Este tipo de infecciones suelen ser precursoras de ataques de ransomware y robo de datos.

El lenguaje utilizado durante todo el proceso de verificación se selecciona cuidadosamente para evitar levantar sospechas y mantener la premisa de verificación falsa.

Los usuarios nunca deben ejecutar nada que copien en línea en su cuadro de diálogo "Ejecutar" de Windows o terminal de PowerShell a menos que sepan lo que están haciendo.

Si no está seguro de algo que copió en su portapapeles, péguelo en un lector de texto y analice su contenido; cualquier ofuscación se considera una señal de alerta.

Actualización 23/1: Un portavoz de Telegram envió a BleepingComputer el siguiente comentario:

"Telegram monitorea de manera proactiva las partes públicas de su plataforma, incluidos bots y miniaplicaciones, y elimina contenido dañino cuando lo descubre. Cada día, los moderadores eliminan millones de piezas de contenido que violan los términos de servicio de Telegram". - Portavoz de Telegram

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario