Trend Research a descoperit o nouă campanie de inginerie socială care folosește vasta bază de utilizatori TikTok pentru a distribui malware care fură informații, în special Vidar și StealC anunță Bleepingcomputer.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Hackerii folosesc acum videoclipuri TikTok generate folosind instrumente bazate pe inteligență artificială pentru a-i incita social pe utilizatori să execute comenzi PowerShell sub pretextul de a-i ghida să activeze software legitim cum ar fi Windows și Microsoft Office sau să deblocheze funcții premium în diverse programe software legitime, cum ar fi CapCut și Spotify. Această campanie evidențiază modul în care atacatorii sunt gata să folosească în arme orice platforme de socializare sunt populare în prezent pentru a distribui malware.
Videoclipurile TikTok promovează acum viruși care fură informații în atacurile ClickFix
Tehnica aceasta prin care infractorii cibernetici folosesc videoclipuri TikTok pentru a păcăli utilizatorii să se infecteze cu malware Vidar și StealC care fură informații a primit denumirea de ClickFix.
„Acest atac folosește videoclipuri (posibil generate de inteligență artificială) pentru a instrui utilizatorii să execute comenzi PowerShell, care sunt deghizate în pași de activare software. Acoperirea algoritmică a TikTok crește probabilitatea unei expuneri pe scară largă, un videoclip ajungând la peste o jumătate de milion de vizualizări”, a declarat Trend Micro.
„Videoclipurile sunt foarte similare, doar cu diferențe minore în unghiurile camerei și adresele URL de descărcare utilizate de PowerShell pentru a descarca malware”, a adăugat acesta.
„Acestea sugerează că videoclipurile au fost probabil create prin automatizare. Vocea dare da instrucțiunile pare, de asemenea, generată de inteligență artificială, ceea ce întărește probabilitatea ca instrumentele de inteligență artificială să fie utilizate pentru a produce aceste videoclipuri.”
Unul dintre videoclipurile care pretinde că oferă instrucțiuni despre cum să „îți îmbunătățești instantaneu experiența Spotify” a ajuns la aproape 500.000 de vizualizări, cu peste 20.000 de aprecieri și peste 100 de comentarii.
În videoclip, atacatorii solicită spectatorilor să ruleze o comandă PowerShell care, în schimb, va descărca și executa un script la distanță de la hxxps://allaivo[.]me/spotify, care instalează malware-ul Vidar sau StealC, viruși care fură informații, lansându-l ca un proces ascuns cu permisiuni ridicate in sistemul de operare.
După implementare, Vidar poate face capturi de ecran de pe desktop și poate fura date de logare, parole, carduri de credit, cookie-uri, portofele de criptomonede, fișiere text și baze de date de autentificare Authy 2FA.
Stealc poate, de asemenea, colecta o gamă largă de informații sensibile de pe computerele infectate, deoarece vizează zeci de browsere web și portofele de criptomonede.
După ce dispozitivul este compromis, scriptul va descărca singur un al doilea malware prin script PowerShell de la hxxps://amssh[.]co/script[.]ps1, care va adăuga o cheie în regiștrii Windows pentru a se lansa automat la pornire.
Ce este ClickFix?
ClickFix este o tactică prin care atacatorii folosesc erori false sau sisteme de verificare, cum ar fi solicitările CAPTCHA, pentru a păcăli potențialele victime să ruleze scripturi rău intenționate pentru a descărca și instala malware pe dispozitivele lor.
Deși vizează în general utilizatorii Windows prin comenzi PowerShell, ClickFix a fost adoptat și în atacuri împotriva utilizatorilor de macOS și Linux.
Grupuri de hackeri sponsorizate de stat și-au atacat țintele în atacuri similare, APT28 și ColdRiver (Rusia), Kimsuky (Coreea de Nord) și MuddyWater (Iran) folosind toate aceste tactici în campanii de spionaj în ultimele luni.
Nu este prima dată când videoclipurile TikTok au fost folosite pentru a promova programe malware, infractorii cibernetici profitând de o provocare TikTok în tendințe numită „Invisible Challenge” pentru a infecta mii de persoane cu o aplicație falsă care instala malware-ul WASP Stealer (un malware care fură tokenuri Discord – Discord Token Grabber).
Malware-ul a fost promovat prin videoclipuri care au primit peste un milion de vizualizări la scurt timp după ce au fost postate și poate fura conturi Discord, parole, carduri de credit și portofele de criptomonede.
În ultimii ani, escrocii au inundat și TikTok cu oferte false de criptomonede, aproape toate folosind teme Elon Musk, Tesla sau SpaceX.
