Nuevo ataque utiliza Telegram y captchas falsos para ejecutar scripts maliciosos en PowerShell

Un nuevo ataque cibernético identificado por investigadores de vx-underground utiliza la plataforma Telegram y captchas falsos para engañar a los usuarios y ejecutar comandos de PowerShell que instalan malware en sus dispositivos. Este ataque es una variante de la táctica «Click-Fix», que ha ganado popularidad entre los actores maliciosos en el último año.

Cómo funciona el ataque

El ataque aprovecha la reciente noticia sobre Ross Ulbricht, el fundador del mercado negro de la dark web Silk Road, cuya condena fue conmutada recientemente. Los actores maliciosos crean cuentas falsas verificadas en la red social X (anteriormente Twitter), haciéndose pasar por Ulbricht, y dirigen a los usuarios a canales de Telegram que supuestamente son portales oficiales.

Ross Ulbricht's Xitter is being spammed with accounts which appear to be associated with him (image 1). However, the accounts are not. When you try to view the "official" Ross Ulbricht Telegram channel it asks to verify your identity (image 2).

It gives free malware! ♥️♥️♥️ pic.twitter.com/PWHm7Nlsf2

— vx-underground (@vxunderground) January 22, 2025

En estos canales, se solicita a los usuarios completar un proceso de «verificación de identidad» denominado ‘Safeguard’. Este proceso falso incluye un diálogo que parece un sistema CAPTCHA pero que, en realidad, copia comandos de PowerShell en el portapapeles de los usuarios.

Posteriormente, se instruye a las víctimas para que abran el cuadro de diálogo «Ejecutar» de Windows, peguen el código copiado y lo ejecuten. Este comando descarga y ejecuta un script de PowerShell que, a su vez, obtiene un archivo comprimido (ZIP) desde un dominio malicioso.

Contenido malicioso descargado

El archivo ZIP descargado contiene múltiples archivos, incluido un ejecutable denominado identity-helper.exe, que los investigadores señalan como un posible Cobalt Strike loader.

Cobalt Strike es una herramienta legítima de pruebas de penetración que los ciberdelincuentes a menudo utilizan para obtener acceso remoto no autorizado a sistemas y redes. Este tipo de infección puede ser el primer paso hacia ataques más graves, como el robo de datos o la implementación de ransomware.

Lenguaje cuidadosamente seleccionado para no levantar sospechas

El proceso de verificación utiliza un lenguaje diseñado para parecer auténtico y evitar levantar sospechas. La naturaleza técnica y los pasos detallados crean una falsa sensación de legitimidad, logrando que las víctimas sigan las instrucciones sin cuestionarlas.

Recomendaciones para protegerse

• No ejecute comandos desconocidos: Nunca copie y pegue comandos en PowerShell o el cuadro de diálogo «Ejecutar» de Windows sin entender completamente su propósito.
• Revise el contenido del portapapeles: Si copia texto de una fuente en línea, péguelo en un editor de texto antes de ejecutarlo. Si nota caracteres sospechosos o código ofuscado, considere esto un posible indicador de peligro.
• Evite enlaces de fuentes no verificadas: Sea especialmente cauteloso con enlaces compartidos en redes sociales y Telegram, incluso si parecen provenir de cuentas verificadas.

Este tipo de ataques destaca la importancia de la ciberseguridad personal y la necesidad de estar atentos ante tácticas que explotan temas actuales para engañar a las víctimas.

vía: Bleeping computer