Malafide ‘captcha’ treft Telegram-gebruikers
Gebruikers komen niet zomaar in aanraking met de ‘click-fix’-aanval. Ze worden eerst via X verleid om het zogenoemde Telegram-kanaal van Ross Ulbricht, de eigenaar van de darkweb-marktplaats Silk Road, te bezoeken. Dat kanaal zou meer informatie geven over zijn vrijlating en andere acties van de veroordeelde cybercrimineel. In werkelijkheid is het echter een project van aanvallers die het nieuws over de vrijlating van Ulbricht, nadat Donald Trump hem deze week gratie verleende, misbruiken om gegevens van aanhangers buit te maken.
Om het Telegram-kanaal zo geloofwaardig mogelijk te laten lijken, worden de berichten verstuurd via geverifieerde X-accounts. In de uitnodiging wordt bovendien de naam “@FreeRossOfficial” genoemd, zodat het lijkt op een officieel kanaal van Ross Ulbricht of zijn partners. Gebruikers die de links naar het Telegram-kanaal openen, krijgen daar echter weinig van te zien, aldus vx-underground, dat de aanval op het spoor kwam.
PowerShell-aanval
In plaats van een geverifieerd Telegram-kanaal krijgen gebruikers een identificatietool met de naam “Safeguard” voorgeschoteld. Hierin wordt uitgelegd dat ze hun identiteit via een “Safeguard Captcha” moeten verifiëren. Om dit proces uit te voeren, maakt de Safeguard-tool gebruik van een Telegram mini-app. Deze app kan echter niet je identiteit verifiëren, maar is erop gericht om je een PowerShell-script te laten uitvoeren.
Zodra je op “Verify” klikt, word je gevraagd om “Windows + R” in te drukken, waarmee je PowerShell opent. Daarna moet je een commando plakken dat de mini-app in je klembord heeft opgeslagen. Wanneer je dit commando via PowerShell uitvoert, wordt een zip-bestand met malware gedownload vanaf http://openline[.]cyou. Dit bestand bevat volgens VirusTotal mogelijk malware genaamd ‘Cobalt Strike’. Aanvallers kunnen dit gebruiken om op afstand toegang te krijgen tot je systeem.
Dit type aanval wordt doorgaans uitgevoerd om gevoelige gegevens van je computer te stelen of mee te kijken terwijl je inlogt bij gevoelige apps. Daarnaast kunnen de aanvallers hun toegang gebruiken om je pc te vergrendelen met ransomware. Het slachtoffer moet dan een geldsom betalen om weer toegang te krijgen tot zijn pc.
Klik niet zomaar op links
Via X worden de laatste tijd steeds vaker malafide Telegram-kanalen gepromoot, bijvoorbeeld over crypto en Tesla. Hoewel de links zelf doorgaans onschuldig lijken, is het belangrijk om niet zomaar op links in dergelijke kanalen te klikken. Over het algemeen is het sowieso aan te raden om niet zomaar op URL’s te klikken. Voer daarnaast geen acties uit op je pc waarvan je niet weet wat de impact is, zoals het uitvoeren van CMD- en PowerShell-scripts.
