TikTok 视频在 ClickFix 攻击中推送信息窃取恶意软件

网络犯罪分子正在使用TikTok视频欺骗用户在ClickFix攻击中使用Vidar和StealC信息窃取恶意软件感染自己。

正如Trend Micro最近发现的那样,TikTok社交工程活动背后的威胁行为者正在使用可能使用AI生成的视频,这些视频要求观众运行声称激活Windows和Microsoft Office的命令,以及CapCut和Spotify等各种合法软件中的高级功能。

“这种攻击使用视频(可能是AI生成的)来指示用户执行PowerShell命令,这些命令伪装成软件激活步骤。TikTok的算法覆盖增加了广泛曝光的可能性,一个视频的观看次数超过50万 , ” Trend Micro说。

“视频非常相似,相机角度和PowerShell用于获取有效载荷的下载URL只有细微的差异,”它补充说。

“这表明这些视频可能是通过自动化创建的。教学语音也出现在AI生成的,这加强了AI工具被用于制作这些视频的可能性。

其中一个视频声称提供了如何“立即提升你的Spotify体验”的说明,已经达到了近50万次观看,超过20,000次点赞和100多条评论。

在视频中,攻击者会提示观众运行 PowerShell 命令,该命令将从 hxxps://allaivo[.]me/spotify 下载并执行远程脚本,该脚本安装 Vidar 或 StealC 信息窃取恶意软件,将其作为具有更高权限的隐藏进程启动。

部署后,Vidar可以截取桌面屏幕截图并窃取凭据,信用卡,Cookie,加密货币钱包,文本文件和Authy 2FA身份验证器数据库。

StealcStealc还可以从受感染的计算机中获取各种敏感信息,因为它针对数十个Web浏览器和加密货币钱包。

设备被破坏后,脚本将从 hxxps://amssh[.]co/script[.]ps1 下载第二个 PowerShell 脚本有效载荷,该脚本将添加一个注册表项以自动启动时启动。

什么是ClickFix?

ClickFixClickFix是一种策略,攻击者使用虚假错误或验证系统(如CAPTCHA提示)来欺骗潜在目标运行恶意脚本以在其设备上下载和安装恶意软件。

虽然通常通过PowerShell命令针对Windows用户,usersmacOSLinux但ClickFix也被采用用于攻击macOS和Linux用户。

国家支持的威胁组织也在类似的攻击中入侵了目标,最近几个月,APT28和ColdRiver(俄罗斯),Kimsuky(朝鲜)和MuddyWater(伊朗)都在间谍活动中使用了这些策略。

这不是TikTok视频第一次被用来推动恶意软件,网络犯罪分子利用名为“隐形挑战”的TikTok趋势挑战,用安装WASP Stealer(Discord Token Grabber)恶意软件的假应用程序感染数千人。

该恶意软件在发布后不久就通过视频推送,该视频获得了超过一百万的观看次数,并可以窃取Discord帐户,密码,信用卡和加密货币钱包。

近年来,诈骗者也充斥着TikTok的虚假加密货币赠品,几乎都使用埃隆·马斯克(Elon Musk),特斯拉(Tesla)或SpaceX主题。