Come spesso accade, i cybercriminali approfittano degli eventi recenti per ingannare gli utenti. I ricercatori di vx-underground hanno scoperto una tattica simile a quella usata per ClickFix che permette di installare un malware sul computer tramite script PowerShell. In questo caso, il target non è Chrome, ma la versione di Telegram per Windows.
Falso canale Telegram di Ross Ulbricht
Donald Trump ha firmato il 21 gennaio il perdono presidenziale per Ross Ulbricht, fondatore di Silk Road condannato per diversi reati nel 2015. Doveva scontare due ergastoli più 40 anni di prigione, ma uscirà dopo 10 anni.
Ignoti cybercriminali hanno sfruttato l’occasione per creare un falso account di Ulbricht su X con la spunta oro assegnata alle organizzazioni verificate. In un recente post era presente il link al presunto canale Telegram ufficiale del gestore di Silk Road.
Cliccando sul link viene avviato un bot in Telegram Desktop, denominato Safeguard, che dovrebbe servire per la verifica dell’identità. In pratica sembra un CAPTCHA usato per determinare se l’utente è umano. In realtà è una mini app che copia automaticamente un comando PowerShell negli appunti (clipboard) di Windows e mostra i passi da seguire per la verifica.
L’utente deve aprire Esegui (Windows Run) e premere CTRL+ V per incollare il comando. Viene così scaricato ed eseguito uno script PowerShell che, a sua volta, scarica un archivio ZIP. Al suo interno c’è il loader di Cobalt Strike, noto tool di penetration test usato spesso per accedere da remoto al computer e rubare dati o installare ransomware.
Un portavoce di Telegram ha dichiarato che vengono rimossi milioni di contenuti pericolosi dalla piattaforma ogni giorno, ma non è chiaro se è stata eliminata la mini app incriminata.
Ti potrebbe interessare
26 gen 2025