07.03.2024
1 хв
1165
Нове дослідження попереджає, що кіберзлочинці тепер використовують вірусні навчальні посібники зі «хакерства», розміщені в TikTok та Instagram, щоб обманом змусити користувачів завантажити шкідливе програмне забезпечення, яке може вкрасти ваші паролі, особисту інформацію та навіть криптогаманці.
Згідно з новим блоґом ReversingLabs, кмітливі хакери заманюють користувачів короткими відео, які обіцяють безкоштовну активацію програмного забезпечення та оновлення до популярних платформ, включаючи Spotify Premium, Windows та продукти Microsoft Office, такі як Word та Adobe Premiere.
«Ці кампанії, що проводяться переважно на TikTok та Instagram Reels, використовують один і той самий шаблон для масового виробництва відео та створення регулярних публікацій», – сказала Зарія Вуксан, дослідниця розвідки про загрози в ReversingLabs.
Дослідники стверджують, що вони виявили дві різні фішингові кампанії з використанням контенту, що використовували короткі відео з «навчальними інструкціями щодо злому» на кількох платформах соціальних мереж, і всі вони вели на вторинний веб-сайт, на якому розміщувалося «безкоштовне програмне забезпечення».
«Обидва підходи є засобом для досягнення різних цілей, і відмінності демонструють, як зловмисники можуть використовувати різні аспекти взаємодії в соціальних мережах, щоб охопити більше потенційних жертв», – сказав Вуксан.
Перший метод досить простий. Зловмисники створюють відео з відшліфованим виглядом, професійним озвучуванням та чіткою графікою, і неодноразово публікують їх на платформах, використовуючи кілька облікових записів.
Щодо шахрайства на тему Microsoft, дослідники виявили, що шахрайські облікові записи використовують офіційні логотипи Windows та імена профілів, такі як «windows.tips» або «window.insight», щоб створити довіру.
Багато облікових записів і відео також містили описи та хештеги ключових слів, щоб вони виглядали як справжні сторінки підтримки клієнтів.
Одне з шахрайських відео, виявлених ReversingLabs, зібрало понад 100 000 переглядів і тисячі взаємодій, що зробило його більш «алгоритмічно цінним» і, ймовірно, з’явиться в стрічках користувачів.
Після підключення жертвам доручають скопіювати та вставити певну команду в Windows PowerShell, стверджуючи, що це активує преміум-функції.
«Відео коротке та лаконічне, воно крок за кроком показує користувачам, як отримати доступ до PowerShell з меню Windows та яку команду ввести, щоб нібито розблокувати цей безкоштовний сервіс», – йдеться в блозі.
Вуксан каже, що нетехнічні користувачі часто не знають, як краще їх зрозуміти, і можуть вважати інструкції командного рядка законними. «Зловмисники покладаються на це нерозуміння», – додає вона.
Далі команда PowerShell запускає корисне навантаження, завантажуючи потужний інфостейлер Vidar безпосередньо на пристрій жертви.
Друга фішингова приманка використовує приманку для залучення, часто показуючи, як хтось переглядає преміум-функції програмного забезпечення, які, як він стверджує, розблокував безкоштовно.
Наприклад, відео часто виглядають як звичайні користувацькі дописи з популярною музикою, водночас неправдиво стверджуючи, що користувачі можуть отримати Spotify Premium безкоштовно. Вони також часто охоплюють кілька відео.
Мета полягає в тому, щоб викликати коментарі від допитливих глядачів із питанням, як вони це зробили, надаючи зловмисникам можливість відповісти інструкціями, посиланнями або подальшими відео, що вказують на шкідливі сайти.
Вуксан каже, що ця стратегія допомагає підвищити залученість та зміцнити довіру з підписниками, перш ніж наказувати їм виконувати шкідливі інструкції.
Гачок вводиться лише після того, як профіль починає набирати популярності в TikTok або Instagram.
Дослідники, які намагалися повідомити про контент, але отримали відмову, також зазначають, що від відео в соціальних мережах важко захиститися.
«Користувачі, які виявляють зловмисний намір, або через дослідження, або самі на нього потрапивши, можуть спробувати попередити інших у коментарях. Однак більшість платформ дозволяють авторам видаляти коментарі та блокувати коментаторів», – сказали вони.
Malwarebytes, яка написав власний блог про дослідження RerversingLabs, стверджує, що потужний Vidar Infostealer непомітно викрадає конфіденційні дані із заражених пристроїв, зокрема:
Дані браузера – збережені паролі, файли cookie, інформація автозаповнення та деякі дані двофакторної автентифікації.
Інформація про систему – інформація про заражений пристрій та встановлене програмне забезпечення.
Облікові дані для входу – імена користувачів та паролі для інших встановлених програм і служб.
Крипто-гаманці – приватні ключі та дані гаманців для різних криптовалют
Шкідливе програмне забезпечення Vidar, вперше виявлене у 2018 році, розроблене для крадіжки інформації та її подальшого надсилання назад на сервери, контрольовані зловмисниками.
Malwarebytes стверджує, що щоб уникнути злому PowerShell, користувачам ніколи не слід виконувати команди в PowerShell або терміналі з ненадійних джерел.
Дослідники також рекомендують скептично ставитися до «порад» щодо соціальних мереж загалом, оскільки навіть перевірені на вигляд імена користувачів можуть поширювати шкідливе програмне забезпечення, і завжди використовувати офіційні канали, такі як додатки та веб-сайти, під час підписки на потокові сервіси або завантаження програмного забезпечення.
Зрештою, вони закликають користувачів завжди використовувати «актуальні антивірусні програми, що працюють у режимі реального часу», щоб блокувати шкідливе програмне забезпечення та викрадачів інформації перед їх запуском.
