Profitând de naivitatea utilizatorilor TikTok, o grupare de hackeri derulează o campanie de inginerie socială bazată pe videoclipuri generate probabil cu ajutorul inteligenței artificiale, care solicită urmăritorilor să inițieze acțiuni care duc în cele din urmă la infectarea dispozitivelor.
Denumit ClickFix, tipul de atac identificat de specialiștii companiei de securitate Trend Micro ia în vizor utilizatorii TikTok receptivi la oferte „de nerefuzat”, precum activare gratuită Windows și Microsoft Office, precum și accesarea unor funcții premium din diverse programe software legitime, cum ar fi CapCut și Spotify.
„Acest atac folosește videoclipuri pentru a instrui utilizatorii să execute comenzi PowerShell, care sunt deghizate în pași de activare software. Acoperirea algoritmică a TikTok crește probabilitatea unei expuneri pe scară largă, un videoclip ajungând la peste o jumătate de milion de vizualizări”, a declarat Trend Micro .
„Videoclipurile sunt foarte similare, cu doar diferențe minore în unghiurile camerei și adresele URL de descărcare utilizate de PowerShell pentru a prelua sarcina utilă”, a adăugat acesta.
„Acestea sugerează că videoclipurile au fost probabil create prin automatizare. Vocea instructivă pare, de asemenea, generată de inteligența artificială, ceea ce întărește probabilitatea ca instrumentele de inteligență artificială să fie utilizate pentru a produce aceste videoclipuri.”
Spre exemplu, unul dintre clipurile viralizate pretinde că oferă instrucțiuni despre cum să „îți îmbunătățești instantaneu experiența Spotify”, obținând aproape 500.000 de vizualizări, peste 20.000 de aprecieri și sute de comentarii din partea utilizatorilor TikTok.
Urmând instrucțiunile prezentate pe video, victimele tastează cu propriile mâini o comandă PowerShell care le va descărca și executa un script descărcat de pe un server controlat de atacatori, instalând malware-ul Vidar sau StealC care fură informații, lansându-l ca un proces ascuns cu permisiuni ridicate.
Odată infiltrat, Vidar va obține capturi de ecran de pe desktop și va sustrage orice credențiale introduse sau autocompletate în formulare web. Cum ar fi datele cardurilor de credit, fișiere cookie conținând token-uri de autentificare, portofele de criptomonede, fișiere text și baze de date de autentificare Authy 2FA.
Al doilea sortiment malware, Stealc, este capabil să colecteze o gamă largă de informații sensibile de pe computerele infectate, deoarece vizează zeci de browsere web și portofele de criptomonede.
Deși vizează în principal utilizatorii Windows prin comenzi PowerShell, vectorul de atac ClickFix a fost adoptat și pentru a facilita atacuri împotriva utilizatorilor de macOS și Linux. Cât despre grupările de hackeri aflate în spatele acestor campanii acestea sunt entități bine finanțate, sponsorizate de actori statali: APT28 și ColdRiver (Rusia), Kimsuky (Coreea de Nord) și MuddyWater (Iran) folosind toate aceste tactici în campanii de spionaj în ultimele luni.
Iar ClickFix nu este prima campanie malware de succes îndreptată împotriva utilizatorilor TikTok, infractorii cibernetici îndrăgind în mod special abordările de tipul TikTok challenge. Cum ar fi „Invisible Challenge”, păcălind mii de oameni cu o aplicație falsă care instala malware-ul WASP Stealer, capabil să sustragă parole, datele carturilor de credit, portofele de criptomonede și credențialele de acces în conturi Discord.
