Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν βίντεο Tiktok για να εξαπατήσουν τους χρήστες να μολύνουν τους εαυτούς τους με το κακόβουλο λογισμικό VIDAR και Stealc σε επιθέσεις Clickfix.
Όπως ανακαλύφθηκε πρόσφατα η Trend Micro, οι ηθοποιοί απειλής πίσω από αυτήν την εκστρατεία κοινωνικής μηχανικής Tiktok χρησιμοποιούν τα βίντεο που πιθανόν να παράγονται χρησιμοποιώντας AI που ζητούν από τους θεατές να εκτελούν εντολές που ισχυρίζονται ότι ενεργοποιούν τα Windows και το Microsoft Office, καθώς και τα χαρακτηριστικά Premium σε διάφορα νόμιμα λογισμικά όπως το Capcut και το Spotify.
“Αυτή η επίθεση χρησιμοποιεί βίντεο (ενδεχομένως δημιουργώντας το AI) για να καθοδηγήσει τους χρήστες να εκτελούν εντολές PowerShell, οι οποίες μεταμφιεσμένες ως βήματα ενεργοποίησης λογισμικού. Είπε η τάση Micro.
“Τα βίντεο είναι πολύ παρόμοια, με μόνο μικρές διαφορές στις γωνίες κάμερας και τις διευθύνσεις URL λήψης που χρησιμοποιούν η PowerShell για να φέρει το ωφέλιμο φορτίο”, πρόσθεσε.
“Αυτά υποδηλώνουν ότι τα βίντεο πιθανότατα δημιουργήθηκαν μέσω της αυτοματοποίησης.
Ένα από τα βίντεο που ισχυρίζονται ότι παρέχουν οδηγίες για το πώς να “ενισχύσετε την εμπειρία σας Spotify αμέσως”, έχει φτάσει σχεδόν 500.000 προβολές, με πάνω από 20.000 προτιμήσεις και περισσότερα από 100 σχόλια.
Στο βίντεο, οι επιτιθέμενοι προτρέπουν τους θεατές να εκτελούν μια εντολή PowerShell που θα κατεβάσει και θα εκτελέσει ένα απομακρυσμένο σενάριο από hxxps: // allaivo[.]Εγώ/Spotify Αυτό εγκαθιστά το κακόβουλο λογισμικό VIDAR ή SteALC, ξεκινώντας ως μια κρυμμένη διαδικασία με αυξημένα δικαιώματα.
Αφού αναπτύχθηκε, το Vidar μπορεί να πάρει στιγμιότυπα οθόνης επιφάνειας εργασίας και να κλέψει διαπιστευτήρια, πιστωτικές κάρτες, μπισκότα, πορτοφόλια κρυπτογράφησης, αρχεία κειμένου και βάσεις δεδομένων Authenticator Authenticator Authy 2FA.
Το STEALC μπορεί επίσης να συγκομίσει ένα ευρύ φάσμα ευαίσθητων πληροφοριών από μολυσμένους υπολογιστές, καθώς στοχεύει δεκάδες προγράμματα περιήγησης ιστού και πορτοφόλια κρυπτογράφησης.
Αφού παραβιαστεί η συσκευή, το σενάριο θα κατεβάσει ένα δεύτερο ωφέλιμο φορτίο script powershell από hxxps: // amssh[.]σενάριο/σενάριο[.]PS1 Αυτό θα προσθέσει ένα κλειδί μητρώου για να ξεκινήσει αυτόματα κατά την εκκίνηση.
.jpg)
Τι είναι το clickfix;
Το ClickFix είναι μια τακτική όπου οι επιτιθέμενοι χρησιμοποιούν ψεύτικα σφάλματα ή συστήματα επαλήθευσης, όπως η προτροπή της CAPTCHA, για να εξαπατήσουν τους πιθανούς στόχους για την εκτέλεση κακόβουλων σεναρίων για τη λήψη και την εγκατάσταση κακόβουλου λογισμικού στις συσκευές τους.
Ενώ γενικά στοχεύοντας τους χρήστες των Windows μέσω εντολών PowerShell, το ClickFix έχει επίσης υιοθετηθεί σε επιθέσεις έναντι των χρηστών MacOS και Linux.
Οι κρατικές ομάδες απειλών έχουν επίσης χάσει τους στόχους τους σε παρόμοιες επιθέσεις, με τους τελευταίους μήνες APT28 και Coldriver (Ρωσία), Kimsuky (Βόρεια Κορέα) και Muddywater (Ιράν).
Δεν είναι η πρώτη φορά που τα βίντεο Tiktok χρησιμοποιήθηκαν για να προωθήσουν το κακόβουλο λογισμικό, με τους εγκληματίες του κυβερνοχώρου να αξιοποιούν μια πρόκληση tiktok που ονομάζεται «Invisible Challenge» για να μολύνουν χιλιάδες με μια ψεύτικη εφαρμογή που εγκατέστησε Malware Stealer (Discord Token Grabber).
Το κακόβουλο λογισμικό ωθήθηκε μέσω βίντεο που έλαβαν πάνω από ένα εκατομμύριο προβολές λίγο μετά την αναρτήσεως και μπορούν να κλέψουν λογαριασμούς διαφωνίας, κωδικούς πρόσβασης, πιστωτικές κάρτες και πορτοφόλια κρυπτογράφησης.
Τα τελευταία χρόνια, οι απατεώνες έχουν επίσης πλημμυρίσει το tiktok με ψεύτικα δώρα κρυπτογράφησης, σχεδόν όλοι χρησιμοποιώντας θέματα Elon Musk, Tesla ή SpaceX.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
