X’teki tehdit aktörleri, şüphelenmeyen kullanıcıları, kendilerine kötü amaçlı yazılım bulaştıran PowerShell kodunu çalıştırmaları için kandıran bir Telegram kanalına yönlendirmek için Ross Ulbricht hakkındaki haberlerden yararlanıyor.
vx-underground tarafından tespit edilen saldırı, geçen yıl kötü amaçlı yazılım dağıtmak amacıyla tehdit aktörleri arasında oldukça popüler hale gelen “Tıkla-Düzelt” taktiğinin yeni bir çeşididir.
Ancak bu varyant, yaygın hatalara yönelik düzeltmeler olmak yerine, kullanıcıların kanala katılmak için çalıştırması gereken bir captcha veya doğrulama sistemi gibi görünüyor.
Geçen ay, Guardio Labs’tan araştırmacılar ve Infoblox araştırmacıları, kullanıcıların bot olmadıklarını doğrulamak için PowerShell komutlarını çalıştırmalarını isteyen CAPTCHA doğrulama sayfalarını kullanan yeni bir kampanyayı ortaya çıkardı.
İpek Yolu yaratıcısı yem olarak kullanıldı
Ross Ulbricht, yasa dışı ürün ve hizmetlerin satılması ve satın alınması için bir merkez görevi gören kötü şöhretli karanlık web pazarı Silk Road’un kurucusu ve ana operatörüdür.
Adam 2015 yılında ömür boyu hapis cezasına çarptırıldı; suçları kolaylaştırdığı ve şahsen işlemediği göz önüne alındığında bazıları bunu aşırı buldu.
Başkan Trump daha önce de aynı görüşü dile getirerek Ulbricht’i ABD Başkanı olduğunda affedeceğine söz vermişti ve dün bu sözünü yerine getirmişti.
Tehdit aktörleri, insanları resmi Ulbricht portalları olarak sunulan kötü amaçlı Telegram kanallarına yönlendirmek için X’teki sahte ancak doğrulanmış Ross Ulbricht hesaplarını kullanarak bu gelişmeden yararlandı.
Kaynak: BleepingComputer
Telegram’da kullanıcılar, sahte doğrulama sürecinde kullanıcılara yol gösteren ‘Koruma’ adı verilen kimlik doğrulama isteğiyle karşılanıyor.
Kaynak: BleepingComputer
Sonunda kullanıcılara sahte bir doğrulama iletişim kutusu görüntüleyen bir Telegram mini uygulaması gösteriliyor. Bu mini uygulama, bir PowerShell komutunu otomatik olarak cihazın panosuna kopyalar ve ardından kullanıcıdan Windows Çalıştır iletişim kutusunu açıp yapıştırıp çalıştırmasını ister.
Kaynak: BleepingComputer
Panoya kopyalanan kod, sonunda http://openline adresinden bir ZIP dosyası indiren bir PowerShell betiğini indirir ve çalıştırır.[.]sen.
Bu zip dosyası,identity-helper.exe dahil olmak üzere çok sayıda dosya içerir. [VirusTotal]VirusTotal’daki bir yorum bunun bir Cobalt Strike yükleyicisi olabileceğini gösteriyor.
Cobalt Strike, tehdit aktörlerinin bilgisayarlara ve bulundukları ağlara uzaktan erişim sağlamak için yaygın olarak kullandıkları bir sızma testi aracıdır. Bu tür enfeksiyonlar genellikle fidye yazılımı ve veri hırsızlığı saldırılarının öncüsüdür.
Doğrulama süreci boyunca kullanılan dil, şüphe uyandırmayı önlemek ve yanlış doğrulama önermesini sürdürmek için dikkatle seçilir.
Kullanıcılar, ne yaptıklarını bilmedikleri sürece, Windows ‘Çalıştır’ iletişim kutusunda veya PowerShell terminalinde çevrimiçi olarak kopyaladıkları hiçbir şeyi asla yürütmemelidir.
Panonuza kopyaladığınız bir şeyden emin değilseniz, onu bir metin okuyucuya yapıştırın ve içeriğini analiz edin; herhangi bir karartma kırmızı bayrak olarak kabul edilir.