Mengutip Bleepingcomputer, serangan yang ditemukan oleh vx-underground, adalah varian baru dari taktik "Click-Fix" yang telah menjadi sangat populer di kalangan penjahat untuk mendistribusikan malware selama setahun terakhir. Alih-alih diperbaiki, varian ini berpura-pura menjadi captcha atau sistem verifikasi yang harus dijalankan pengguna untuk bergabung dengan saluran.
Bulan lalu, para peneliti dari Guardio Labs dan peneliti Infoblox mengungkapkan kampanye baru yang menggunakan halaman verifikasi CAPTCHA yang meminta pengguna untuk menjalankan perintah PowerShell untuk memverifikasi bahwa mereka bukan bot.
Ross Ulbricht adalah pendiri dan operator utama dark web terkenal Silk Road, yang bertindak sebagai pusat penjualan dan pembelian barang dan jasa terlarang. Pria itu dijatuhi hukuman penjara seumur hidup pada tahun 2015.
Presiden Trump sebelumnya berjanji untuk mengampuni Ulbricht setelah dia menjadi Presiden AS, dan kemarin, dia memenuhi janji ini.
Pelaku ancaman mengambil keuntungan dari perkembangan ini, menggunakan akun Ross Ulbricht palsu tetapi terverifikasi di X untuk mengarahkan orang ke saluran Telegram berbahaya yang disajikan sebagai portal resmi Ulbricht.
Di Telegram, pengguna bertemu dengan apa yang disebut permintaan verifikasi identitas bernama 'Safeguard,' yang memandu pengguna melalui proses verifikasi palsu.
Pada akhirnya, pengguna diperlihatkan mini aplikasi Telegram yang menampilkan dialog verifikasi palsu. Aplikasi mini ini secara otomatis menyalin perintah PowerShell ke clipboard perangkat dan kemudian meminta pengguna untuk membuka dialog Jalankan Windows dan menempelkannya serta menjalankannya.
Kode yang disalin ke clipboard mengunduh dan mengeksekusi skrip PowerShell, yang akhirnya mengunduh file ZIP. File ini berisi banyak file, termasuk identity-helper.exe, yang komentar di VirusTotal menunjukkan bahwa itu mungkin adalah loader Cobalt Strike.
Cobalt Strike adalah alat pengujian penetrasi yang biasa digunakan oleh pelaku ancaman untuk mendapatkan akses jarak jauh ke komputer dan jaringan tempat mereka berada. Jenis infeksi ini biasanya merupakan pendahulu serangan ransomware dan pencurian data.
Bahasa yang digunakan selama proses verifikasi dipilih dengan cermat untuk mencegah menimbulkan kecurigaan dan mempertahankan premis verifikasi yang salah. Pengguna tidak boleh mengeksekusi apa pun yang mereka salin secara online di dialog 'Jalankan' Windows atau terminal PowerShell kecuali mereka tahu apa yang mereka lakukan.
Jika tidak yakin tentang sesuatu yang kamu salin di clipboard, tempelkan ke pembaca teks dan analisis isinya, dengan pengaburan apa pun dianggap sebagai tanda bahaya.
Cek Berita dan Artikel yang lain di
Google News
