Специалисты по кибербезопасности обнаружили новую масштабную фишинговую кампанию, в которой злоумышленники используют актуальную новость о помиловании Росса Ульбрихта, основателя печально известного даркнет-маркетплейса Silk Road. Атака направлена на распространение вредоносного ПО через социальную инженерию и манипуляции с PowerShell.
Механика атаки ClickFix: как работает новая схема обмана
Исследовательская группа VX-underground первой идентифицировала эту кампанию как вариацию атаки типа ClickFix (также известную как ClearFake или OneDrive Pastejacking). Злоумышленники создают поддельные аккаунты в социальной сети X (ранее Twitter), имитируя движение Free Ross. Через эти аккаунты они направляют пользователей в фальшивые Telegram-каналы, где реализуется следующий этап атаки.
Техническая реализация и механизмы заражения
После перехода в Telegram жертвам демонстрируется сообщение о необходимости пройти проверку через инструмент «Safeguard Captcha». Ключевой элемент атаки заключается в автоматическом копировании вредоносной PowerShell-команды в буфер обмена пользователя. Злоумышленники убеждают жертву выполнить эту команду через Windows Run, якобы для прохождения аутентификации.
Анализ вредоносной нагрузки
При выполнении команды запускается сложная цепочка заражения: PowerShell-скрипт загружает ZIP-архив с домена openline[.]cyou, содержащий различные файлы, включая identity-helper.exe. Согласно данным сервиса VirusTotal, этот исполняемый файл является загрузчиком Cobalt Strike — инструмента, часто используемого киберпреступниками для удаленного управления зараженными системами.
Эксперты по кибербезопасности настоятельно рекомендуют пользователям проявлять повышенную бдительность при работе в интернете. Категорически запрещается выполнять незнакомые команды в PowerShell или Windows Run, особенно скопированные из непроверенных источников. Любые попытки обфускации кода должны рассматриваться как потенциальная угроза безопасности. Для защиты от подобных атак необходимо использовать современные антивирусные решения и регулярно обновлять системы безопасности.
