Los ciberdelincuentes usan videos de Tiktok para alentar a los usuarios a infectarse con Vidar y robar el vuelo de información de malware en los ataques de ClickFix.
Como Trend Micro lo descubrió recientemente, los actores de amenaza detrás de esta campaña de ingeniería social de Tiktok usan videos probablemente generados utilizando una IA que les pide a los espectadores que ejecuten los comandos fingentes que activen Windows y Microsoft Office, así como características premium en varios software legítimo como Capcut y Spotify.
“This attack uses videos (perhaps generated by AI) to ask users to execute PowerShell commands, which are disguised as software activation stages. The algorithmic scope of Tiktok increases the probability of a generalized exhibition, with a video reaching more than half a million views”, ” Micro Trend dice.
“Los videos son muy similares, con solo diferencias menores en los ángulos de la cámara y descargar URL utilizadas por PowerShell para recuperar la carga útil”, agregó.
“Estos sugieren que los videos probablemente han sido creados por la automatización. La voz educativa también parece ser generada por AI, fortaleciendo la probabilidad de que las herramientas de IA se usen para producir estos videos”.
Uno de los videos simulados proporciona instrucciones sobre cómo “estimular su” experiencia “de Spotify instantáneamente, alcanzó casi 500,000 visitas, con más de 20,000 me gusta y más de 100 comentarios.
En el video, los atacantes invitan a los espectadores a ejecutar un comando PowerShell que descargará y ejecutará un script remoto desde en su lugar desde hxxps: // amamantando[.]Yo / spotify Esto instala Vidar o Stalc Stade Malwored, lanzándolo como un proceso oculto con altas autorizaciones.
Después de ser implementado, Vidar puede tomar capturas de pantalla de la oficina y robar información de identificación, tarjetas de crédito, cookies, billeteras de criptomonedas, archivos de texto y bases de datos auténticas Authy 2FA.
STEALC también puede recopilar una amplia gama de información confidencial de computadoras infectadas porque se dirige a docenas de navegadores web y billeteras de criptomonedas.
Una vez que el dispositivo se ve comprometido, el script descargará una segunda carga útil de PowerShell Script de hxxps: // amssh[.]CO / Script[.]PS1 Esto agregará automáticamente una clave de registro al inicio.
.jpg)
¿Qué es ClickFix?
ClickFix es una táctica en la que los atacantes usan errores falsos o sistemas de verificación, como las indicaciones de Captcha, para engañar a los posibles objetivos en la ejecución de scripts maliciosos para descargar e instalar malware en sus dispositivos.
Si bien generalmente se dirige a los usuarios de Windows a través de los comandos de PowerShell, ClickFix también se ha adoptado en ataques contra los usuarios de MacOS y Linux.
Grupos de amenazas patrocinadas por el estado también han pirateado sus objetivos en ataques similares, con Apt28 y Coldriver (Rusia), Kimsuky (Corea del Norte) y Muddywater (Irán) que han usado estas tácticas en campañas de espía en los últimos meses.
Esta no es la primera vez que los videos de Tiktok se han utilizado para impulsar el malware, los cibercriminales que capitalizan en un moderno desafío de Tiktok llamado ‘Invisible Challenge’ ‘para infectar a miles de personas con una aplicación falsa instalada Malware de Wasp (capturador de tokens de discordia).
El malware ha sido impulsado a través de videos que han recibido más de un millón de visitas poco después de ser publicadas y pueden robar cuentas de discordia, contraseñas, tarjetas de crédito y billeteras de criptomonedas.
En los últimos años, los delincuentes también han inundado a Tiktok con falsos regalos de criptomonedas, casi todos usando temas de Elon Musk, Tesla o SpaceX.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.