Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости» » Интернет технологии
sitename
Поиск смысла: в СУБД Yandex YDB появился векторный поиск, позволяющий искать по смысловым связям / ServerNews - «Новости сети»
Поиск смысла: в СУБД Yandex YDB появился векторный поиск, позволяющий искать по смысловым связям / ServerNews - «Новости сети»
 «Россети» намерены построить единую оптическую линию связи за 80 млрд рублей / ServerNews - «Новости сети»
«Россети» намерены построить единую оптическую линию связи за 80 млрд рублей / ServerNews - «Новости сети»
 Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости»
Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости»
 Материнские платы Gigabyte уязвимы перед UEFI-малварью - «Новости»
Материнские платы Gigabyte уязвимы перед UEFI-малварью - «Новости»
 Для доставки малвари Interlock применяется техника FileFix - «Новости»
Для доставки малвари Interlock применяется техника FileFix - «Новости»
 Легендарная серия возвращается: анонсирована масштабная и динамичная тактическая стратегия Sudden Strike 5 - «Новости сети»
Легендарная серия возвращается: анонсирована масштабная и динамичная тактическая стратегия Sudden Strike 5 - «Новости сети»
 Баг в железнодорожном протоколе позволяет остановить поезд с помощью SDR - «Новости»
Баг в железнодорожном протоколе позволяет остановить поезд с помощью SDR - «Новости»
 Британская полиция арестовала четырех человек, причастных к атакам на ритейлеров - «Новости»
Британская полиция арестовала четырех человек, причастных к атакам на ритейлеров - «Новости»
 Windows 11 снова предлагает «безопасно извлечь видеокарту» — делать этого не стоит - «Новости сети»
Windows 11 снова предлагает «безопасно извлечь видеокарту» — делать этого не стоит - «Новости сети»
 Asus показала золотую видеокарту RTX 5090 ROG Astral Real Gold Edition за $500 тыс. - «Новости сети»
Asus показала золотую видеокарту RTX 5090 ROG Astral Real Gold Edition за $500 тыс. - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости»

✔Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости»

24 января 2025 552 Преимущества стилей / Новости / Типы носителей / Сайтостроение / Интернет и связь / Заработок / Изображения / Ссылки 0

Хакеры воспользовались новостью о помиловании Росса Ульбрихта, чтобы заманивать пользователей в Telegram-канал, где их обманом вынуждают выполнить вредоносный PowerShell-код.


Первыми эту атаку заметили специалисты VX-underground, и она относится к типу ClickFix (ClearFake или OneDrive Pastejacking). В последнее время различные вариации ClickFix-атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и обманом заставляют выполнять вредоносные команды PowerShell, вручную заражая свою систему вредоносным ПО. Так, злоумышленники оправдывают необходимость выполнения команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA.


В настоящее время атакующие эксплуатируют свежую новость о том, что президент США Дональд Трамп помиловал Росса Ульбрихта — основателя закрытого в 2013 году даркнет-маркетплейса Silk Road.


Мошенники используют фальшивые учтенные записи в X (бывший Twitter), выдавая себя за связанное с Россом Ульбрихтом движение Free Ross, направляя пользователей в якобы официальные Telegram-каналы. Однако другие приманки могут быть не связаны с Ульбрихтом.



Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости»


После перехода по такой ссылке пользователи видят сообщение о необходимости пройти проверку через некий инструмент (бота) под названием Safeguard Captcha.





В этом Telegram-приложении PowerShell-команда автоматически копируется в буфер обмена жертвы, и пользователю предлагают открыть Windows Run и выполнить ее, якобы для прохождения аутентификации.





Как сообщает издание Bleeping Computer, код из буфера обмена загружает и выполняет PowerShell-скрипт, который в итоге скачивает ZIP-архив с сайта openline[.]cyou. Этот архив содержит множество файлов, включая identity-helper.exe, который, судя по данным VirusTotal, представляет собой загрузчик Cobalt Strike.


Специалисты напоминают, что ни в коем случае нельзя запускать скопированные в интернете команды через Windows Run или в терминале PowerShell (особенно если пользователь не знает, что делает), а любая обфускация должна расцениваться как тревожный сигнал.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Хакеры воспользовались новостью о помиловании Росса Ульбрихта, чтобы заманивать пользователей в Telegram-канал, где их обманом вынуждают выполнить вредоносный PowerShell-код. Первыми эту атаку заметили специалисты VX-underground, и она относится к типу ClickFix (ClearFake или OneDrive Pastejacking). В последнее время различные вариации ClickFix-атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и обманом заставляют выполнять вредоносные команды PowerShell, вручную заражая свою систему вредоносным ПО. Так, злоумышленники оправдывают необходимость выполнения команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA. В настоящее время атакующие эксплуатируют свежую новость о том, что президент США Дональд Трамп помиловал Росса Ульбрихта — основателя закрытого в 2013 году даркнет-маркетплейса Silk Road. Мошенники используют фальшивые учтенные записи в X (бывший Twitter), выдавая себя за связанное с Россом Ульбрихтом движение Free Ross, направляя пользователей в якобы официальные Telegram-каналы. Однако другие приманки могут быть не связаны с Ульбрихтом. После перехода по такой ссылке пользователи видят сообщение о необходимости пройти проверку через некий инструмент (бота) под названием Safeguard Captcha. В этом Telegram-приложении PowerShell-команда автоматически копируется в буфер обмена жертвы, и пользователю предлагают открыть Windows Run и выполнить ее, якобы для прохождения аутентификации. Как сообщает издание Bleeping Computer, код из буфера обмена загружает и выполняет PowerShell-скрипт, который в итоге скачивает ZIP-архив с сайта openline_
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: