Хакеры применяют Telegram и поддельную CAPTCHA-верификацию для принудительного запуска вредоносных команд в PowerShell и распространения Cobalt Strike — будьте внимательны к сомнительным уведомлениям и ссылкам
Злоумышленники применяют новую тактику, маскируемую под CAPTCHA-верификацию, чтобы подтолкнуть пользователей к выполнению вредоносных команд через PowerShell и внедрять вредоносное ПО, включая Cobalt Strike.
Схема зафиксирована исследователями и опирается на использование актуальных новостей и популярных фигур, что повышает доверие к каналам.
Как происходит заражение
Злоумышленники создают поддельные аккаунты и приглашают пользователей в Telegram‑каналы, где якобы необходимо пройти «верификацию» личности.
В процессе пользователю предлагают выполнить PowerShell‑команду в рамках проверки; в некоторых случаях вредоносный код может активироваться после взаимодействия через чат.
Если пользователь выполняет команду, система может начать загрузку и развёртывание вредоносного ПО, иногда скрытого под загрузчик вредной нагрузки, который обеспечивает доступ злоумышленникам к устройству.
Пример ситуации: пользователь получает сообщение в Telegram, содержащее якобы важную верификацию; доверчиво следует инструкциям и выполняет действия, после чего на его устройстве начинается подозрительная активность.
Почему это опасно
Cobalt Strike — это инструментарий, который в рамках тестирования применяют специалисты по безопасности, но злоумышленники часто адаптируют под свои цели.
Затронутая схема позволяет проводить целевые атаки, в ходе которых может происходить шифрование данных, кража конфиденциальной информации и нарушение нормальной работы информационных систем как у частных пользователей, так и у организаций.
Кроме того, продуманная «верификационная» подача служит способом снизить настороженность жертвы и повысить шансы на выполнение вредоносных действий.
Как защититься
- Не выполняйте команды или скрипты, полученные из Telegram, мессенджеров или сомнительных источников без тщательной проверки их назначения и контекста.
- Перед вставкой содержимого буфера обмена в текстовые редакторы или консоль внимательно проверить текст — подозрительные конструкции, обфускация или неожиданные фрагменты должны вызвать тревогу.
- Используйте актуальные антивирусные решения и решения EDR/обнаружения угроз, а также включайте защиту от вредоносной активности на уровне сети и хоста.
- Не переходите по сомнительным ссылкам даже если они выглядят официально; при сомнениях сверяйте источник через официальный сайт или приложение.
- Ограничьте выполнение PowerShell: используйте Constrained Language Mode, WDAC или AppLocker, запретите запуск неподписанных скриптов и настройте политики исполнения по умолчанию.
- Усилите защиту учётных записей: включайте MFA, контролируйте доступ к удаленным сервисам и внедряйте мониторинг входов.
- Регулярно проводите обучение сотрудников по распознаванию фишинга и инцидентов, а также устанавливайте понятный процесс сообщения о подозрительной активности.
- По возможности ограничивайте или блокируйте доступ к мессенджерам в корпоративной сети и применяйте фильтры контента и политики доступа.
- Регулярно создавайте и проверяйте резервные копии данных, а также внедряйте мониторинг и раннее оповещение для минимизации ущерба в случае заражения.
