
先日、Ross Ulbrichtが恩赦で釈放されました。
彼は有名なダークウェブ上のマーケットを創設して運営していた人物です。
いろいろな経緯がありましたが、米国大統領に就任したトランプ大統領に恩赦されました。
特定の領域でこの話題は注目されました。
注目される話題があると、その周辺にいろいろな動きがあります。
この話はそんな話です。
- XでRossのつぶやきを発見する
脅威アクターはX(旧twitter)につぶやきを書き込みました。
投稿主はRoss Ulbrichtのアカウントです。
中の人がRoss Ulbrichtなのかは別として、投稿に使用されたアカウントはRoss Ulbrichtでした。
投稿内容はTelegramに「@FreeRossOfficial」というチャンネルを案内するものでした。 - Telegramへのリンクをクリックする
興味が出た閲覧者はXで出会ったTelegramへのリンクをクリックします。
中身を見始める手前で、本人認証リクエストが開始されます。 - Safeguardが始まる
開始される本人認証プロセスの名称はSafeguardです。
これはいかにもな見た目で表示されますが、認証プロセスとしては偽物です。
誘導されるままに進めていくと、Safeguardは閲覧者に指示通りに操作することを案内します。
指示内容は次のようなものです。- step1
Windowsボタンと「R」を同時に押してください - step2
表示された実行ダイアログボックスの中にコントロール「V」を入力して貼り付けてください - step3
あなたのアカウントを認証するためにエンターキーを入力してください
- step1
- 侵害動作が開始される
指示の通りに操作すると侵害動作が開始されます。
Safeguardが表示された際に自動でコピーされていた文字列は、攻撃のためのコードでした。
実行されたコードは、PowerShellスクリプトをダウンロードして実行し、http://openline[.]cyouからZIPファイルをダウンロードします。
このZIPのなかにはCobalt Strike ローダーとして動作する多数のファイルが含まれています。
この攻撃そのものは最近確認されたものですが、この方向の攻撃は、ここのところよく見られるようになっているClick-Fix攻撃の1種です。
この攻撃手法はマルウェア配布によく使われるものとなっています。
この例に限らず、操作要求された場合には、自分が何を実行しようとしているのか、落ち着いて確認することが必要ですね。
Ross Ulbricht’s Xitter is being spammed with accounts which appear to be associated with him (image 1). However, the accounts are not. When you try to view the “official” Ross Ulbricht Telegram channel it asks to verify your identity (image 2).
https://x.com/vxunderground/status/1881946956806926351
この記事をシェア |
---|