Аналитики Trend Micro заметили, что ролики в TikTok стали использоваться киберпреступниками для атак типа ClickFix. Пользователей обманом вынуждают заражать свои устройства стилерами Vidar и StealC.
Напомним, что атаки ClickFix представляют собой разновидность социальной инженерии. В последнее время различные вариации таких атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и там обманом заставляют выполнять вредоносные команды PowerShell, по сути, вручную заражая свою систему вредоносным ПО.
К примеру, злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA.
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ранее ИБ-специалисты предупреждали и о кампаниях, направленных на пользователей macOS и Linux.
Как теперь сообщают в Trend Micro, в TikTok появились ролики (вероятно, созданные с помощью ИИ), в которых зрителей просят выполнить команды, якобы активирующие Windows и Microsoft Office, а также премиум-функции в различном ПО, включая CapCut и Spotify.
«В этой атаке используются видеоролики (вероятно, созданные искусственным интеллектом), в которых пользователям предлагается выполнить PowerShell-команды, замаскированные под шаги, необходимые для активации программного обеспечения. Алгоритмический охват TikTok повышает вероятность широкого распространения атаки: одно из таких видео набрало более полумиллиона просмотров, — говорится в сообщении Trend Micro. — Ролики очень похожи друг на друга, если лишь незначительные различия в ракурсах камеры и URL-адресах, используемых PowerShell для получения полезных нагрузок».
В упомянутом исследователями видео якобы содержится инструкция о том, как «мгновенно повысить качество работы Spotify», и ролик набрал почти 500 000 просмотров, получил более 20 000 лайков и более 100 комментариев.
В ролике пользователям предлагается выполнить PowerShell-команду, которая на самом деле загружает и выполняет скрипт с сайта hxxps://allaivo[.]me/spotify, устанавливающий на устройство стилеры Vidar или StealC, предназначенные для кражи данных. Малварь запускается как скрытый процесс с повышенными правами.
После развертывания Vidar способен делать скриншоты рабочего стола и похищать учетные данные, информацию о банковских картах и криптовалютных кошельках, файлы cookie, текстовые файлы и БД аутентификатора Authy 2FA.
StealC также может собирать широкий спектр конфиденциальной информации с зараженных машин, и его основной целью являются десятки различных браузеров и данные о криптокошельках.
После того как устройство скомпрометировано, скрипт загружает вторую полезную нагрузку в виде PowerShell-скрипта с адреса hxxps://amssh[.]co/script[.]ps1, который добавляет в реестр ключ для автоматического запуска при каждом старте системы.
Стоит отметить, что это не первый случай использования TikTok для распространения малвари. К примеру, еще в 2022 году злоумышленники эксплуатировали популярный челлендж в TikTok — Invisible Challenge, чтобы распространять среди пользователей малварь WASP, которая ворует пароли, учетные записи Discord и данные криптовалютных кошельков.
