Bilgisayar korsanları, bilgi sürdüren kötü amaçlı yazılımları yaymak için Tiktok’ta AI tarafından oluşturulan videolar kullanıyor


TrendMicro, tehdit aktörlerinin bilgi çalma kötü amaçlı yazılımlarını dağıtmak için Tiktok’tan yararlandığı sofistike bir kampanya ortaya çıkardı.

Korsan yazılımın kilidini açma öğreticileri olarak poz veren AI tarafından oluşturulan videolardan yararlanarak, siber suçlular şüphesiz izleyicileri kötü niyetli PowerShell komutları yürütmeye yönlendirir.

Bu komutlar, enfekte olmuş sistemlerden hassas verileri toplamak için tasarlanmış Vidar ve Stealc gibi tehlikeli kötü amaçlı yazılım suşlarını indirir.

– Reklamcılık –
Google Haberleri

Sosyal Medya Siber Tehditlerinde Yeni Bir Sınır

Bu saldırıyı özellikle endişe verici kılan, büyük erişimdir, bazı videolar yaklaşık yarım milyon görüş kazandırır ve potansiyel kurbanların ölçeği ile ilgili endişeleri artırır.

Aldatma, kullanıcıları PowerShell komut dosyalarını çalıştırmaya yönlendiren ve kötü niyetli indirme zinciri başlatan görünüşte zararsız videolarla başlar.

Kampanyanın derinliklerinde daha derinlemesine kazılan tarihi DNS verileri, AMSSH gibi alanların[.]CO ve Allaivo[.]Şimdi çevrimdışı veya ele geçirilmiş, daha önce 91.92.46.76 ve 91.92.46.219 gibi IP adreslerine çözülmüştü.

Tiktok
Domainlerin iki örtüşmesi vardı

Censys Report’a göre, bu ev sahipleri 23 Mayıs 2025 itibariyle hala aktif olan PowerShell betiğine hizmet etti ve Lumma Stealer gibi yükler sundu ve Virustotal gibi araçlarla işaretlendi.

Kötü niyetli altyapı ağı

91.92.46.70 dahil olmak üzere ilişkili IP’ler hakkında daha fazla araştırma, KYC gereksinimi olmayan yakın zamanda kayıtlı bir özerk sistem anonimliği olan AS214196 (“Vladylsav-Naumets”) altında kurşun geçirmez barındırma sağlayıcılarıyla bağları ortaya çıkarır.

Tiktok
HTTP yanıt gövdesi

Yeni kurulan yukarı akış sağlayıcısı AS213887 (“Waicore”) ile eşleştirilen bu kurulum, tespitten kaçınmak için tasarlanmış gölgeli bir altyapının resmini çiziyor.

Tarihsel taramalar ayrıca 147.45.44.233 ve 176.98.186.23 gibi diğer ilgili IP’lerde ek hizmetler ve komut dosyaları göstermektedir, ancak bu ana bilgisayarlar şu anda çevrimdışı olmasına rağmen, bazı soruları cevapsız bırakır.

Bu kampanya, Tiktok gibi popüler platformları silahlandıran ve sosyal mühendisliği etkilerini en üst düzeye çıkarmak için AI gibi ileri teknoloji ile harmanlayan siber suçluların gelişen taktiklerini vurgulamaktadır.

Kurşun geçirmez barındırma kullanımı, bu hizmetler yayından kaldırmalara direnmek için inşa edildiğinden, hafifletme çabalarını daha da karmaşıklaştırmaktadır.

TrendMicro’nun ilk raporu, uzlaşma (IOCS) temel göstergeleri sağladı, ancak genişletilmiş araştırmalar, tehdit manzarasının daha dolgun bir resmini çizerek ek IP’leri, alanları ve karmaları ortaya çıkardı.

Aşağıda, tespit ve müdahale çabalarına yardımcı olmak için güncellenmiş bir IOCS tablosu, kullanıcılar arasında artan uyanıklık ve bu tür sinsi tehditlerle mücadele etmek için sağlam güvenlik önlemlerinin altını çizmektedir.

Güncellenmiş Uzlaşma Göstergeleri (IOCS)

Tip Değer
Doğramak 3BB81C9777BB34FADB3BDEAC7E61193DD009725783FB2CF453E15AD70FC39E9B
Doğramak AFC72F0D8F24657D009056BDA910A3BE89D4BD68B02A9A9A19D146D63ADC5
Doğramak B8d9821a478f1a377095867aeb2038c464c59ed31a4c7413f768f2e14d3886
Doğramak 56CE9B8314D4CF1240AB7CE06FA7A8D153742BE3BF0167312F3827B9CC2656
Doğramak 530AC7B7D252F2B62BEFFF3A1BAD47ADA3AD3F528A897AE74391E64D9E907E
Url hxxp: // 91[.]92[.]46[.]70/1032C730725D1721[.]PHP
Url hxxps: // allaivo[.]Ben/Spotify
Url hxxps: // amssh[.]CO/Dosya[.]exe
Url hxxps: // amssh[.]CO/Script[.]PS1
Url hxxps: // steamcommunity[.]com/profiller/76561199846773220
Url hxxps: // t[.]ME/V00RD
Url Hxxps: // winbox[.]WS/Crypted[.]exe
Url Hxxps: // winbox[.]WS/Script[.]PS1
Ivır zıvır hxxps: // 49[.]12[.]113[.]201
Ivır zıvır hxxps: // 116[.]202[.]6[.]216
Ivır zıvır 91[.]92.46.76
Ivır zıvır 91[.]92.46.219
Ivır zıvır 147[.]45.44.233
Ivır zıvır 176[.]98.186.23
Ivır zıvır 91[.]92.46.70
CIDR 91.92.46.0/24 (kurşun geçirmez barındırma sağlayıcısı)
CIDR 166.88.225.0/24 (kurşun geçirmez barındırma sağlayıcısı)
Asn 214196 (kurşun geçirmez barındırma sağlayıcısı

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link