Siber suçlular, kullanıcıları ClickFix saldırılarında VIDAR ve STEALC bilgi çalma kötü amaçlı yazılımlarla kendilerini enfekte etmek için tiktok videolarını kullanıyor.
Micro’nun yakın zamanda keşfedildiği gibi, bu Tiktok Sosyal Mühendislik kampanyasının arkasındaki tehdit aktörleri, izleyicilerin Windows ve Microsoft Office’i etkinleştirdiğini iddia eden komutları ve Capcut ve Spotify gibi çeşitli meşru yazılımlarda premium özellikleri çalıştırmalarını isteyen AI kullanılarak oluşturulan videoları kullanıyor.
Trend Micro, “Bu saldırı, kullanıcılara yazılım aktivasyonu adımları olarak gizlenen PowerShell komutlarını yürütmelerini öğretmek için videolar (muhtemelen AI tarafından oluşturulmuş) kullanıyor. Tiktok’un algoritmik erişimi yaygın maruz kalma olasılığını arttırıyor ve bir video yarım milyondan fazla görüntülemeye ulaşıyor.”
“Videolar son derece benzer, sadece kamera açılarında küçük farklılıklar ve PowerShell tarafından yükü almak için kullanılan indirme URL’leri” diye ekledi.
Diyerek şöyle devam etti: “Bunlar, videoların muhtemelen otomasyon yoluyla oluşturulduğunu gösteriyor. Öğretimsel ses, AI tarafından üretilen ve bu videoları üretmek için AI araçlarının kullanılma olasılığını güçlendiriyor.”
“Spotify deneyiminizi anında artıracağınızı” nasıl artıracağına dair talimatlar sağladığını iddia eden videolardan biri, 20.000’den fazla beğeni ve 100’den fazla yorumla yaklaşık 500.000 görüntülemeye ulaştı.
Videoda, saldırganlar izleyicileri bunun yerine uzak bir komut dosyasını indirecek ve yürütecek bir PowerShell komutu çalıştırmaya teşvik edin. hxxps: // allaivo[.]Ben/Spotify VIDAR veya STEALC bilgi çalma kötü amaçlı yazılımları yükler ve yüksek izinlerle gizli bir işlem olarak başlatır.
Dağıtıktan sonra Vidar, masaüstü ekran görüntüleri alabilir ve kimlik bilgileri, kredi kartları, çerezler, kripto para cüzdanları, metin dosyaları ve Authy 2FA Authenticator veritabanlarını çalabilir.
Stealc, düzinelerce web tarayıcısını ve kripto para cüzdanlarını hedeflediği için enfekte bilgisayarlardan çok çeşitli hassas bilgiler de toplayabilir.
Cihaz tehlikeye atıldıktan sonra, komut dosyası ikinci bir PowerShell komut dosyası yükü indirecektir. hxxps: // amssh[.]CO/Script[.]PS1 Bu, başlangıçta otomatik olarak başlatmak için bir kayıt defteri anahtarı ekleyecektir.
.jpg)
ClickFix nedir?
ClickFix, saldırganların, cihazlarına kötü amaçlı yazılımları indirmek ve yüklemek için kötü amaçlı komut dosyaları çalıştırmak için potansiyel hedefleri kandırmak için Captcha istemleri gibi sahte hatalar veya doğrulama sistemleri kullandıkları bir taktiktir.
Genel olarak Windows kullanıcılarını PowerShell komutları aracılığıyla hedeflerken, MacOS ve Linux kullanıcılarına yönelik saldırılarda ClickFix de benimsenmiştir.
Devlet destekli tehdit grupları da benzer saldırılarda hedeflerini hackledi, APT28 ve Coldriver (Rusya), Kissuky (Kuzey Kore) ve Muddywater (İran) son aylarda bu taktikleri casusluk kampanyalarında kullandı.
Bu, Tiktok videoları kötü amaçlı yazılımları zorlamak için kullanıldı, siber suçlular, Wasp Stealer (Discord Jeton Grabber) kötü amaçlı yazılım yüklü sahte bir uygulamayla binlerce kişiyi enfekte etmek için ‘Görünmez Mücadele’ adlı trend bir Tiktok Mücadelesinden yararlandı.
Kötü amaçlı yazılım, yayınlandıktan kısa bir süre sonra bir milyondan fazla görüntüleme alan ve Discord hesapları, şifreler, kredi kartı ve kripto para cüzdanları çalabilen videolara itildi.
Son yıllarda, dolandırıcılar Tiktok’u neredeyse hepsi Elon Musk, Tesla veya SpaceX temalarını kullanarak sahte kripto para birimi hediyesi ile dolduruyorlar.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.