Аналітики Trend Micro помітили, що ролики в TikTok стали використовуватися кіберзлочинцями для атак типу ClickFix. Користувачів обманом змушують заражати свої пристрої стилерами Vidar і StealC.

Нагадаємо, що атаки ClickFix являють собою різновид соціальної інженерії. Останнім часом різні варіації таких атак зустрічаються часто. Зазвичай жертв заманюють на шахрайські сайти і там обманом змушують виконувати шкідливі команди PowerShell, по суті, вручну заражаючи свою систему шкідливим ПЗ.

Як тепер повідомляють у Trend Micro, у TikTok з’явилися ролики (імовірно, створені за допомогою ШІ), у яких глядачів просять виконати команди, що нібито активують Windows і Microsoft Office, а також преміум-функції в різному ПЗ, зокрема CapCut і Spotify.

“У цій атаці використовуються відеоролики (ймовірно, створені штучним інтелектом), в яких користувачам пропонується виконати PowerShell-команди, замасковані під кроки, необхідні для активації програмного забезпечення. Алгоритмічне охоплення TikTok підвищує ймовірність широкого поширення атаки: одне з таких відео набрало понад півмільйона переглядів, – ідеться в повідомленні Trend Micro. – Ролики дуже схожі один на одного, якщо лише незначні відмінності в ракурсах камери і URL-адресах, які використовує PowerShell для отримання корисних навантажень”.

У ролику користувачам пропонується виконати PowerShell-команду, яка насправді завантажує і виконує скрипт із сайту hxxps://allaivo[.]me/spotify, що встановлює на пристрій стилери Vidar або StealC, призначені для крадіжки даних. Малварь запускається як прихований процес із підвищеними правами.

Після розгортання Vidar здатний робити скріншоти робочого столу і викрадати облікові дані, інформацію про банківські картки та криптовалютні гаманці, файли cookie, текстові файли і БД аутентифікатора Authy 2FA.

Після того як пристрій скомпрометовано, скрипт завантажує друге корисне навантаження у вигляді PowerShell-скрипта з адреси hxxps://amssh[.]co/script[.]ps1, який додає в реєстр ключ для автоматичного запуску під час кожного старту системи.

Варто зазначити, що це не перший випадок використання TikTok для поширення малварі. Приміром, ще 2022 року зловмисники експлуатували популярний челендж у TikTok – Invisible Challenge, щоб розповсюджувати серед користувачів малварь WASP, яка краде паролі, облікові записи Discord і дані криптовалютних гаманців.