Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости» » Интернет технологии
sitename
Персональные компьютеры Аквариус
Персональные компьютеры Аквариус
 AMD не признаёт поражения на графическом направлении и обещает нокаутировать Nvidia с помощью Instinct MI450 - «Новости сети»
AMD не признаёт поражения на графическом направлении и обещает нокаутировать Nvidia с помощью Instinct MI450 - «Новости сети»
 Тест показал, что OLED-монитор «раздражает» выгоранием уже через 18 месяцев использования, но не всё так однозначно - «Новости сети»
Тест показал, что OLED-монитор «раздражает» выгоранием уже через 18 месяцев использования, но не всё так однозначно - «Новости сети»
 Отключения мобильного интернета сыграли на руку операторам сотовой связи, провайдерам и продавцам роутеров - «Новости сети»
Отключения мобильного интернета сыграли на руку операторам сотовой связи, провайдерам и продавцам роутеров - «Новости сети»
 Intel воскресила легендарный шестиядерник Core i5-10400 под новым именем Core i5-110 - «Новости сети»
Intel воскресила легендарный шестиядерник Core i5-10400 под новым именем Core i5-110 - «Новости сети»
 Microsoft выпустила официальный ISO-образ предварительной версии Windows 11 25H2 - «Новости сети»
Microsoft выпустила официальный ISO-образ предварительной версии Windows 11 25H2 - «Новости сети»
 График в мониторинге поисковых запросов: анализируйте данные эффективнее — «Блог для вебмастеров»
График в мониторинге поисковых запросов: анализируйте данные эффективнее — «Блог для вебмастеров»
 Межзвёздная комета «Оумуамуа» может оказаться фрагментом «экзо-Плутона» — и далеко не единственным - «Новости сети»
Межзвёздная комета «Оумуамуа» может оказаться фрагментом «экзо-Плутона» — и далеко не единственным - «Новости сети»
 Sapphire выпустила белые материнские платы PURE B850A WIFI и PURE B850M WIFI для Ryzen 9000 - «Новости сети»
Sapphire выпустила белые материнские платы PURE B850A WIFI и PURE B850M WIFI для Ryzen 9000 - «Новости сети»
 Google признала «стремительный упадок» открытого интернета — раньше она говорила совсем другое - «Новости сети»
Google признала «стремительный упадок» открытого интернета — раньше она говорила совсем другое - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости»

✔Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости»

24 января 2025 567 Преимущества стилей / Новости / Типы носителей / Сайтостроение / Интернет и связь / Заработок / Изображения / Ссылки 0

Хакеры воспользовались новостью о помиловании Росса Ульбрихта, чтобы заманивать пользователей в Telegram-канал, где их обманом вынуждают выполнить вредоносный PowerShell-код.


Первыми эту атаку заметили специалисты VX-underground, и она относится к типу ClickFix (ClearFake или OneDrive Pastejacking). В последнее время различные вариации ClickFix-атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и обманом заставляют выполнять вредоносные команды PowerShell, вручную заражая свою систему вредоносным ПО. Так, злоумышленники оправдывают необходимость выполнения команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA.


В настоящее время атакующие эксплуатируют свежую новость о том, что президент США Дональд Трамп помиловал Росса Ульбрихта — основателя закрытого в 2013 году даркнет-маркетплейса Silk Road.


Мошенники используют фальшивые учтенные записи в X (бывший Twitter), выдавая себя за связанное с Россом Ульбрихтом движение Free Ross, направляя пользователей в якобы официальные Telegram-каналы. Однако другие приманки могут быть не связаны с Ульбрихтом.



Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости»


После перехода по такой ссылке пользователи видят сообщение о необходимости пройти проверку через некий инструмент (бота) под названием Safeguard Captcha.





В этом Telegram-приложении PowerShell-команда автоматически копируется в буфер обмена жертвы, и пользователю предлагают открыть Windows Run и выполнить ее, якобы для прохождения аутентификации.





Как сообщает издание Bleeping Computer, код из буфера обмена загружает и выполняет PowerShell-скрипт, который в итоге скачивает ZIP-архив с сайта openline[.]cyou. Этот архив содержит множество файлов, включая identity-helper.exe, который, судя по данным VirusTotal, представляет собой загрузчик Cobalt Strike.


Специалисты напоминают, что ни в коем случае нельзя запускать скопированные в интернете команды через Windows Run или в терминале PowerShell (особенно если пользователь не знает, что делает), а любая обфускация должна расцениваться как тревожный сигнал.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Хакеры воспользовались новостью о помиловании Росса Ульбрихта, чтобы заманивать пользователей в Telegram-канал, где их обманом вынуждают выполнить вредоносный PowerShell-код. Первыми эту атаку заметили специалисты VX-underground, и она относится к типу ClickFix (ClearFake или OneDrive Pastejacking). В последнее время различные вариации ClickFix-атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и обманом заставляют выполнять вредоносные команды PowerShell, вручную заражая свою систему вредоносным ПО. Так, злоумышленники оправдывают необходимость выполнения команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA. В настоящее время атакующие эксплуатируют свежую новость о том, что президент США Дональд Трамп помиловал Росса Ульбрихта — основателя закрытого в 2013 году даркнет-маркетплейса Silk Road. Мошенники используют фальшивые учтенные записи в X (бывший Twitter), выдавая себя за связанное с Россом Ульбрихтом движение Free Ross, направляя пользователей в якобы официальные Telegram-каналы. Однако другие приманки могут быть не связаны с Ульбрихтом. После перехода по такой ссылке пользователи видят сообщение о необходимости пройти проверку через некий инструмент (бота) под названием Safeguard Captcha. В этом Telegram-приложении PowerShell-команда автоматически копируется в буфер обмена жертвы, и пользователю предлагают открыть Windows Run и выполнить ее, якобы для прохождения аутентификации. Как сообщает издание Bleeping Computer, код из буфера обмена загружает и выполняет PowerShell-скрипт, который в итоге скачивает ZIP-архив с сайта openline_
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: