Короткие видео в соцсетях стали новым каналом для программ-похитителей данных

Stealer

Мошенники активно используют формат коротких роликов в социальных сетях для массового распространения вредоносного ПО. Под видом уроков по установке бесплатного премиум-софта они заманивают пользователей на опасные сайты и прямо в командные строки запускают загрузку похитителей данных. Эта угроза касается как обычных людей, так и корпоративных сотрудников, которые могут перенести вредоносную активность на рабочие устройства.

Описание

Исследователи компании ReversingLabs проанализировали два типа атак, развернутых преимущественно в TikTok и Instagram* Reels. Обе кампании объединяет одна цель: направить трафик на подконтрольные злоумышленникам веб-ресурсы, обещающие бесплатный доступ к Spotify Premium, Microsoft Word, CapCut Pro и другим популярным продуктам. Отчёт специалистов показывает, что создатели таких видео прекрасно понимают механизмы работы рекомендательных алгоритмов и намеренно накручивают показатели вовлеченности - сохранения, репосты и комментарии.

Первый тип кампании использует профессионально сделанные туториалы с голосом, который, вероятно, генерирует искусственный интеллект. Аккаунты носят названия вроде windows.tips или windows.insights и имеют аватарку в сине-белых тонах, копирующую официальную иконку Windows. Это придаёт им ложную легитимность. В самих видео диктор спокойно объясняет, как открыть PowerShell (командную оболочку Windows) и ввести команду iex irm, чтобы якобы активировать премиум-функции Spotify. На деле же эта инструкция загружает и выполняет скрипт с удалённого сервера msget[.]run. Исследователи извлекли исполняемый файл build.exe по этому адресу и подтвердили, что он является известным похитителем данных Vidar Stealer.

Vidar Stealer - это распространённая вредоносная программа, доступная по модели malware-as-a-service (вредоносное ПО как услуга) за фиксированную лицензию в 300 долларов. Она крадёт учётные данные, банковскую информацию и токены сессий с заражённого устройства. В октябре прошлого года её обновили, сделав более скрытной и стабильной. Исполнительная команда, которую видит пользователь, короткая и не вызывает подозрений, а сам ролик выглядит качественно и убедительно. Пользователи сохраняют такие видео, чтобы вернуться к ним позже, а алгоритмы соцсетей воспринимают это как сигнал популярности и продвигают запись шире. Один из примеров набрал более 100 тысяч просмотров при почти 1700 сохранениях - это намного превышает число лайков.

Вторая кампания использует совершенно другой подход. Вместо диктора и чётких инструкций создатели публикуют короткие ролики под модную музыку, демонстрируя интерфейс премиум-софта и утверждая, что получили его бесплатно. Сами аккаунты выглядят как обычные пользователи, но их лента состоит исключительно из однотипных видео на эту тему. Цель таких постов - вызвать у зрителей естественное любопытство. Подписчики начинают спрашивать в комментариях, как повторить этот трюк. Мошенники либо отвечают в комментариях, либо направляют пользователей на отдельные видео-туториалы или ссылки в описании профиля. Некоторые ролики прямо просят оставить комментарий с определённым словом (например, "ok"), чтобы повысить вовлечённость.

После того как аудитория проявит интерес, злоумышленники публикуют ссылки на сайты с обещанием скачать взломанное ПО. Например, платформы pluginchad[.]xyz, maxapk[.]xyz или d4ug[.]site. Последний ресурс предлагал целый каталог: Spotify Premium, CapCut Pro, YouTube Premium и другие. Попытки исследователей скачать контент приводили к анкетам, рекламирующим подарочные карты. Пройти их до конца не удалось, поэтому точный характер полезной нагрузки остался невыясненным. Однако сам метод перенаправления трафика на сомнительные сайты уже представляет серьёзную угрозу, поскольку такие площадки могут распространять любое вредоносное содержимое.

Атакующие прекрасно понимают, как заставить алгоритмы работать на себя. Социальные сети бесплатны и поощряют частые публикации. Использование нескольких платформ и множества аккаунтов позволяет охватить огромную аудиторию. Сохранения, репосты и комментарии значительно влияют на ранжирование контента, и злоумышленники целенаправленно стимулируют именно эти действия. Более того, современные технологии генерации голоса и видео с помощью искусственного интеллекта делают массовое производство таких роликов почти беззатратным. Удаление одной учётной записи не решает проблему: на её место быстро приходит десяток новых.

Особенность этого типа атак в том, что они трудно поддаются защите. Пользователи привыкли искать фишинг в электронной почте или мессенджерах, но не в ленте развлекательных видео. К тому же мошенники маскируются под полезные советы, а не под пугающие сообщения о срочной необходимости что-то сделать. Даже если кто-то в комментариях предупреждает об опасности, создатель видео может просто удалить такие предупреждения и заблокировать пользователя. Попытки пожаловаться на мошеннический контент часто не приносят результата - в ходе теста исследователи пытались отметить несколько постов в Instagram* как скам, но система отклонила жалобы. Платформы реагируют непоследовательно, а человеческие модераторы могут не обладать нужной квалификацией для оценки угрозы.

Для организаций этот вектор особенно опасен, если сотрудники используют личные или рабочие устройства для доступа к таким видео. Некоторые кампании обещают не только развлекательное, но и профессиональное ПО (например, редакторы видео или офисные пакеты), которое работник может счесть полезным для выполнения задач. Поэтому ключевой мерой защиты становится регулярный аудит прав установки и обучение персонала актуальным методам социальной инженерии. Пользователям стоит сообщать о подозрительных видео, даже если они увидели их на личных аккаунтах. Чем больше жалоб, тем выше вероятность блокировки, что хотя бы замедлит распространение.

Короткие видео как канал распространения вредоносного ПО - это не временное явление, а устойчивая тенденция. Злоумышленники будут продолжать совершенствовать тактики, заимствуя приёмы легитимных создателей контента. Единственное, что может противопоставить сообщество, - это осведомлённость и бдительность. Каждый сохранённый или прокомментированный ролик с обещанием бесплатного софта может обернуться кражей данных и финансовыми потерями. Внимательное отношение к тому, какие команды и ссылки вводятся на устройствах, по-прежнему остаётся главной линией обороны.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

Индикаторы компрометации

Domains

  • d4ug.site
  • maxapk.xyz
  • pluginchad.xyz
  • slmgr.sh

URLs

  • instagram.com/epemberton369
  • instagram.com/wndwstips
  • instagram.com/wtips404
  • tiktok.com/@davidcooksey47
  • tiktok.com/@mr.capcut.pro2
  • tiktok.com/@tracyhughe
  • tiktok.com/@windows.insight
  • tiktok.com/@windows.tips1

SHA256

  • 03bbc4fa1fd784276da135ab62fef85aaddea66e6eb176d7e59c3398f818b153

Комментарии: 0