Una nuova minaccia informatica, emersa nelle scorse ore, sfrutta la piattaforma di messaggistica Telegram per indurre gli utenti a eseguire script PowerShell dannosi. Gli attaccanti utilizzano infatti falsi profili su X per promuovere canali malevoli. Questi account, spesso verificati e legati a figure note come Ross Ulbricht, il fondatore del mercato nero di Silk Road, reindirizzano gli utenti a canali Telegram che richiedono una falsa verifica dell’identità.
La dinamica dell’attacco su Telegram
Una volta all’interno del canale utilizzato per gli attacchi, agli utenti viene presentata una procedura di verifica denominata “Safeguard”. Quest’ultima guida l’utente attraverso diversi passaggi e culmina in una mini-app di Telegram che mostra una finestra di dialogo per la verifica. Naturalmente del tutto fasulla.
La mini-app copia automaticamente un comando PowerShell negli appunti del dispositivo e chiede all’utente ad aprire la finestra di dialogo “Esegui” di Windows, incollare il comando e eseguirlo. Esso scarica ed esegue uno script che infetta il sistema con un malware. Parliamo di un loader di Cobalt Strike che è uno strumento spesso utilizzato dai cybercriminali per ottenere accesso remoto a computer e reti.
Tale tecnica è un’evoluzione del “Click-Fix“. Metodo con cui gli attaccanti inducono le vittime ad eseguire comandi PowerShell spacciandoli per soluzioni a problemi comuni. In questo caso la novità sta nell’utilizzo di una falsa verifica CAPTCHA all’interno di Telegram per convincere gli utenti a eseguire il comando malevolo.
Come proteggersi
Per proteggersi da tali minacce è importante seguire alcune linee guida che massimizzano la sicurezza anche su Telegram, tra cui non eseguire mai comandi non verificati ed evitare quelli copiati da fonti online o ricevuti tramite messaggi.
Anche se un account sembra verificato è fondamentale controllare attentamente il nome utente associato e cercare eventuali segni di falsificazione. Si deve inoltre diffidare di richieste inaspettate di verifica dell’identità, specialmente se comportano l’esecuzione di comandi o l’installazione di software.
In caso di sospetto di infezione o di esecuzione accidentale di comandi sospetti, è consigliabile eseguire immediatamente una scansione completa del sistema con un software antivirus aggiornato.