Експерти з кібербезпеки виявили масштабну фішингову кампанію, яка експлуатує суспільний інтерес до можливого помилування Росса Ульбрихта, засновника даркнет-майданчика Silk Road. Зловмисники використовують складні методи соціальної інженерії та автоматизовані скрипти PowerShell для розповсюдження шкідливого програмного забезпечення.
Анатомія фішингової кампанії ClickFix
Дослідницька група VX-underground ідентифікувала цю атаку як варіацію техніки ClickFix (відома також як ClearFake або OneDrive Pastejacking). Основний вектор атаки реалізується через створення фальшивих акаунтів у соціальній мережі X, які імітують рух за звільнення Росса Ульбрихта. Зловмисники використовують ці облікові записи для перенаправлення потенційних жертв у підроблені Telegram-канали.
Технічні особливості та механізм зараження
У Telegram жертвам демонструється повідомлення про необхідність проходження перевірки через систему “Safeguard Captcha”. Критичним елементом атаки є автоматичне копіювання шкідливої PowerShell-команди в буфер обміну користувача. Зловмисники маніпулюють довірою жертв, спонукаючи їх виконати цю команду через Windows Run під приводом проходження автентифікації.
Аналіз шкідливого навантаження
При активації шкідливого коду запускається багатоетапний процес зараження. PowerShell-скрипт завантажує ZIP-архів з домену openline[.]cyou, який містить різноманітні файли, включаючи identity-helper.exe. За даними сервісу VirusTotal, цей виконуваний файл є завантажувачем Cobalt Strike – потужного інструменту віддаленого доступу, який часто використовується у кіберзлочинних операціях.
Для захисту від подібних атак фахівці з кібербезпеки рекомендують дотримуватися базових правил цифрової гігієни: ніколи не виконувати незнайомі команди в PowerShell або Windows Run, особливо скопійовані з неперевірених джерел; використовувати сучасні антивірусні рішення з функцією поведінкового аналізу; регулярно оновлювати програмне забезпечення та операційну систему. Особливу увагу слід приділяти перевірці достовірності джерел інформації та уникати переходів за підозрілими посиланнями, навіть якщо вони здаються пов’язаними з актуальними новинами.
