Эксперты вновь фиксируют волну атак с использованием социальной инженерии, где площадкой для заражения становится TikTok. Хакеры публикуют видеоролики, которые выглядят как простые и «бесплатные» инструкции по активации популярных программ, но на деле ведут к загрузке вредоносного ПО, способного похищать личные данные.
По информации издания BleepingComputer, злоумышленники маскируют вредоносные сценарии под псевдоинструкции по активации программных продуктов, в числе которых Adobe Premiere, Microsoft 365, Discord Nitro, Photoshop и Windows. Подобные ролики предлагают зрителям выполнить однострочную команду в PowerShell с правами администратора, обещая мгновенный «активационный» эффект.
Специалист центра ISC Ксавье Мертенс отмечает, что наблюдаемая сейчас кампания напоминает ту, которую фиксировали аналитики Trend Micro в мае. Атака получила условное наименование ClickFix. Её суть заключается в том, чтобы убедить жертву добровольно выполнить поддельную команду, замаскированную под техническое решение.
Команда PowerShell, указанная в каждом видео, инициирует соединение с удалённым сервером slmgr[.]win. Оттуда подгружается скрипт, который в автоматическом режиме загружает два исполняемых файла. Один из них — updater.exe — представляет собой разновидность вредоносного ПО под названием Aura Stealer.
По информации аналитиков, это вредоносное ПО собирает конфиденциальные данные, хранящиеся в браузерах (сохранённые логины, пароли, cookie-файлы), а также извлекает информацию из криптокошельков и других приложений, где могут быть сохранены учётные данные.
Следом система загружает второй файл — source.exe. По данным Ксавье Мертенса, эта программа выполняет компиляцию собственного кода с помощью встроенного .NET-компилятора Visual C#. Результат внедряется прямо в память устройства, минуя антивирусные фильтры. Окончательное назначение этой части вредоносной цепочки пока не установлено, но эксперты подозревают, что оно связано с более глубокой компрометацией системы.
Интересной деталью кампании является подмена URL-адресов в зависимости от программы, которую якобы активируют. Так, если речь идёт о Windows, ссылка ведёт на сайт с соответствующим названием. Для Adobe и других продуктов используются другие домены, что создаёт иллюзию легитимности.
Оригинал публикации на сайте CISOCLUB: "В TikTok распространяются фальшивые ролики, заражающие пользователей вредоносным ПО через команды PowerShell".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.