Los hackers aprovecharon la noticia del indulto a Ross Ulbricht (creador de Silk Road) para atraer a usuarios a un canal de Telegram, donde se les engaña para que ejecuten un código malicioso de PowerShell.
Los especialistas de VX-underground fueron los primeros en detectar este ataque, que pertenece al tipo ClickFix (ClearFake o OneDrive Pastejacking). Últimamente, se ven a menudo diversas variaciones de ataques ClickFix. Normalmente, las víctimas son atraídas a sitios web fraudulentos y se les engaña para que ejecuten comandos maliciosos de PowerShell, infectando manualmente su sistema con malware. Así, los ciberdelincuentes justifican la necesidad de ejecutar comandos para solucionar problemas de visualización de contenido en el navegador o solicitan que el usuario resuelva una CAPTCHA falsa.
Ross Ulbricht's Xitter is being spammed with accounts which appear to be associated with him (image 1). However, the accounts are not. When you try to view the "official" Ross Ulbricht Telegram channel it asks to verify your identity (image 2).
— vx-underground (@vxunderground) January 22, 2025
It gives free malware! ♥️♥️♥️ pic.twitter.com/PWHm7Nlsf2
Actualmente, los atacantes explotan la reciente noticia de que el presidente de Estados Unidos, Donald Trump, indultó a Ross Ulbricht, fundador del mercado en la darknet Silk Road, cerrado en 2013.
Los estafadores usan cuentas falsas en X (antes Twitter), haciéndose pasar por el movimiento Free Ross, relacionado con Ross Ulbricht, y dirigiendo a los usuarios a canales de Telegram supuestamente oficiales. Sin embargo, otros señuelos pueden no estar relacionados con Ulbricht.
Después de hacer clic en un enlace de este tipo, los usuarios ven un mensaje que indica que deben pasar una verificación a través de una herramienta (bot) llamada Safeguard Captcha.
En esta aplicación de Telegram, el comando de PowerShell se copia automáticamente en el portapapeles de la víctima, y se le solicita al usuario que abra Ejecutar en Windows y lo ejecute, supuestamente para pasar la autenticación.
Según Bleeping Computer, el código del portapapeles descarga y ejecuta un script de PowerShell, que finalmente descarga un archivo ZIP del sitio openline[.]cyou. Este archivo contiene muchos archivos, incluido identity-helper.exe, que, según VirusTotal, es un descargador de Cobalt Strike.
Los especialistas recuerdan que en ningún caso se deben ejecutar comandos copiados de internet a través de Ejecutar en Windows o en la terminal de PowerShell (especialmente si el usuario no sabe lo que está haciendo), y cualquier ofuscación debe considerarse una señal de alarma.
