Telegram

ロス・ウルブリヒト(Ross Ulbricht)氏に関するニュースを悪用し、Xの脅威アクターが無防備なユーザーをTelegramチャンネルに誘導し、マルウェアに感染させるPowerShellコードを実行させています。

vx-undergroundによって発見されたこの攻撃は、昨年からマルウェアを配布するために脅威アクターの間で大人気となっている「Click-Fix」戦術の新しい亜種です。

しかし、この亜種は一般的なエラーの修正ではなく、ユーザーがチャンネルに参加するために実行しなければならないキャプチャや検証システムのふりをしている。

先月、Guardio LabsとInfobloxの研究者は、ボットではないことを確認するためにPowerShellコマンドを実行するようユーザーに促すCAPTCHA検証ページを利用した新しいキャンペーンを明らかにした。

シルクロードの生みの親が誘い水に

ロス・ウルブリヒトは、悪名高いダークウェブ・マーケットプレイス「シルクロード」の創設者であり、主要な運営者です。

ウルブリヒトは2015年に終身刑の判決を受けたが、これは彼が犯罪を助長し、個人的に犯罪を行なっていなかったことを考えると、行き過ぎだと考える者もいた。

トランプ大統領は以前、同じ意見を表明し、米大統領に就任したらウルブリヒトを恩赦すると約束していたが、昨日、その約束を果たした。

この動きに便乗した脅威行為者たちは、偽の、しかし認証されたロス・ウルブリヒトのアカウントをX上で使用し、人々をウルブリヒトの公式ポータルとして見せかけた悪質なテレグラム・チャンネルに誘導した。

Fake Ulbricht account on X
X上の偽ウルブリヒト・アカウント
ソースは こちら:

Telegramでは、「Safeguard」と名付けられたいわゆる本人確認要求がユーザーに表示され、偽の本人確認プロセスを通じてユーザーを誘導する。

Presenting the identity verification bait
本人確認のエサの提示
出典 Telegramでは、「Safeguard」と名付けられたいわゆる本人確認要求が表示され、ユーザーは偽の本人確認手続きを行う:

最後に、ユーザーには、偽の認証ダイアログを表示するTelegramのミニ・アプリが表示される。このミニ・アプリは、PowerShellコマンドをデバイスのクリップボードに自動的にコピーし、Windowsの「ファイル名を指定して実行」ダイアログを開いてペーストし、実行するようユーザーに促します。

Instructions given to victims
被害者に与えられた指示
ソース

クリップボードにコピーされたコードは、PowerShellスクリプトをダウンロードして実行し、最終的にhttp://openline[.]cyou.のZIPファイルをダウンロードします。

このZIPファイルには、identity-helper.exe[VirusTotal]を含む多数のファイルが含まれており、VirusTotalのコメントによると、Cobalt Strikeローダーである可能性が示されています。

Cobalt Strikeは、脅威行為者がコンピュータやそのネットワークにリモートアクセスするために一般的に使用する侵入テストツールです。この種の感染は、一般的にランサムウェアやデータ盗難攻撃の前兆となります。

検証プロセス全体を通して使用される言語は、疑惑を招くことを防ぎ、偽の検証の前提を維持するために慎重に選択されています。

ユーザーは、自分が何をしているのか分かっていない限り、Windowsの「ファイル名を指定して実行」ダイアログやPowerShellターミナルでオンラインでコピーしたものを決して実行してはならない。

クリップボードにコピーした内容に確信が持てない場合は、テキストリーダーに貼り付けて内容を分析すること。

1/23更新 – Telegramの広報担当者から以下のコメントが届いた:

「Telegramは、ボットやミニアプリを含むプラットフォームの公開部分を積極的に監視し、有害なコンテンツが発見された場合はいつでも削除しています。モデレーターは毎日、Telegramの利用規約に違反する何百万ものコンテンツを削除しています。”- テレグラム広報担当者