【安全资讯】Telegram 验证码诱使用户运行恶意 PowerShell 脚本

概要：

近期，网络安全研究人员发现一种新的网络攻击手法，攻击者利用 Telegram 验证码的伪装，诱导用户运行恶意 PowerShell 脚本，从而感染恶意软件。这一事件不仅揭示了网络钓鱼攻击的新变种，也反映了网络犯罪分子如何利用社会工程学手段来操控用户。

主要内容：

攻击者在社交媒体平台 X 上利用 Ross Ulbricht 的新闻，诱导用户访问伪造的 Telegram 频道。用户被要求通过所谓的身份验证过程，实际上是一个精心设计的钓鱼手段。该过程要求用户运行 PowerShell 命令，以证明他们不是机器人。研究人员指出，这种新变种是过去一年中流行的“点击修复”策略的延续。

在用户完成虚假的验证后，Telegram 上会弹出一个迷你应用程序，自动将恶意 PowerShell 命令复制到剪贴板，并提示用户打开 Windows 运行对话框进行粘贴和执行。执行的代码会下载并运行一个 PowerShell 脚本，最终从指定网址下载一个 ZIP 文件，其中包含多个文件，包括可能是 Cobalt Strike 加载器的 identity-helper.exe。

Cobalt Strike 是一种常用于渗透测试的工具，攻击者利用它获得对计算机及其网络的远程访问。这类感染通常是勒索软件和数据盗窃攻击的前兆。用户在进行任何在线复制操作时，务必保持警惕，切勿随意在 Windows 运行对话框或 PowerShell 终端中执行不明命令。