Ross Ulbricht, il fondatore del Silk Road, continua a essere al centro di accesi dibattiti riguardo al confine tra tecnologia e criminalità. recenti eventi, inclusa un’amnistia concessa dall’ex presidente degli Stati Uniti Donald Trump, hanno attirato l’attenzione su di lui e, purtroppo, hanno aperto la strada a nuove forme di cybercriminalità. Questi attacchi prendono spunto dalla notorietà del suo caso per diffondere malware tra utenti ignari.
Il ruolo dei gruppi di hacker
Sfruttando la copertura mediatica legata a Ulbricht, diversi gruppi di hacker si stanno avvicinando sempre di più a tecniche ingannevoli. Utilizzando la piattaforma X, questi criminali attirano le vittime verso canali Telegram fraudolenti. Qui, le persone vengono convinte ad eseguire script PowerShell che compromettono i loro dispositivi. Questo schema si basa su una nuova interpretazione della già nota strategia “Click-Fix”, ma con un approccio diverso: non si presenta più come un semplice errore da risolvere, ma come un processo fondamentale di verifica o captcha per accedere al canale.
Tecniche di inganno su Telegram
Per rendere le loro operazioni più credibili, i criminali informatici si spacciano per Ulbricht utilizzando account falsi ma verificati su X. Questi profili sono progettati per attirare gli utenti verso canali Telegram che si spacciano per ufficiali. Una volta all’interno di Telegram, gli utenti vengono sottoposti a un falso processo di verifica dell’identità denominato “Safeguard”. Questo passaggio li guida a scaricare un’app miniaturizzata che mostra un dialogo di verifica falsificato, mentre copia automaticamente un comando PowerShell negli appunti dell’utente.
L'esecuzione del malware
Le vittime, confortate da questa falsa credibilità, vengono istruite a eseguire i comandi tramite la finestra di dialogo di esecuzione di Windows. L’accettazione di tali istruzioni dà il via a una serie di eventi compromettenti: in primo luogo, uno script PowerShell viene scaricato, il quale a sua volta recupera un file ZIP da un link specifico. All’interno di questo ZIP si trovano diversi file, con particolare attenzione a identity-helper.exe, sospettato di essere un loader Cobalt Strike. Questo strumento, comunemente usato dagli attaccanti, permette l’accesso remoto e l’esecuzione di campagne di ransomware o furto di dati.
Strategie di evasione
Ogni fase di questo attacco è meticolosamente pianificata per ridurre al minimo il rischio di rilevamento e per massimizzare la possibilità di ingannare le vittime. Grazie a un approccio così ben congegnato, i criminali sono in grado di sfruttare la notorietà di Ross Ulbricht per raggiungere i loro obiettivi illeciti, evidenziando ancora una volta l’intersezione problematica tra tecnologia e criminalità.
