IT-Sicherheitsforscher haben eine Social-Engineering-Kampagne auf Tiktok aufgespürt, in der die Angreifer ihren Opfern Malware unterschieben wollen. Dabei versprechen die Täter, gecrackte Software anzubieten – am Ende landen jedoch PowerShell-Befehle in der Zwischenablage, die Opfer ausführen und sich damit Infostealer unterjubeln lassen.
In einer Analyse gehen die IT-Forscher von Trend Micro in die Details. Demnach produzieren die kriminellen Drahtzieher mutmaßlich KI-generierte Videos, die angeblich Schritte zur Aktivierung von Software oder zur Freischaltung von Premium-Funktionen vorführen. Tatsächlich führt die Anleitung dann jedoch PowerShell-Befehle aus. Die wiederum laden die Infostealer StealC und Vidar herunter und verankern sie auf den Computern der Opfer.
Die Angreifer versuchen, die Opfer dort zu finden, wo sie unterwegs und empfänglich für Social Engineering sind: in den sozialen Netzwerken. Während jedoch bisherige Kampagnen etwa durch die Anwesenheit von eingeschleustem Javascript auf kompromittierten Landing-Pages erkennbar waren, setzen die Täter bei dieser Tiktok-basierten Malware-Kampagne auf reines Social Engineering ausschließlich mit dem Video-Inhalt. Die Besonderheit von Tiktok mit der riesigen Nutzerbasis und algorithmisch vergrößerter Reichweite seien idealer Nährboden für Cyberkriminelle, erörtern Trend Micros IT-Forscher.
Angreifer erreichen eine breite Verteilung, ohne sich um eine eigene Infrastruktur kümmern zu müssen, erklären sie weiter. Durch die Nutzung von KI-generierten Inhalten lasse sich so eine Kampagne großskalieren, anstatt nur vereinzelte Vorfälle zu erzeugen. Derartige Videos lassen sich schnell produzieren und für unterschiedliche Nutzersegmente maßgeschneidert anpassen.
Auffällig sei bei der beobachteten Kampagne zudem, dass die TikTok-Videos verbale Anleitungen liefern, mit denen die Opfer PowerShell-Befehle auf ihren Maschinen ausführen. Dadurch ist kein schädlicher Code auf der Plattform sichtbar, auf den Sicherheitssoftware anschlagen könnte.
Eines der Videos hat mehr als 20.000 Likes erhalten, außerdem finden sich den Virenanalysten zufolge mehr als 100 Kommentare darunter. Die TikTok-Analytics zeigten dafür sogar eine Reichweite von 500.000 Ansichten. Die bösartigen Videos erhalten tatsächlich eine große Reichweite. Wie viele Konsumenten der bösartigen Videos sich tatsächlich mit den Infostealern infiziert haben, nennt Trend Micro nicht. Die IT-Forscher erörtern jedoch noch die genaue Funktionsweise der PowerShell-Skripte und liefern am Ende einige Hinweise auf Infektionen (Indicators of Compromise, IOCs).
Im vergangenen Jahr haben Cyberkriminelle Ähnliches mit YouTube-Videos versucht. Auf den von ihren regulären Besitzern etwa mittels Phishing übernommenen Kanälen versprachen sie gecrackte und illegal kopierte Videospiele. Die Links führten jedoch zu Malware – ebenfalls zu Infostealern: Lumma Stealer, StealC und Vidar fanden die IT-Forscher. Die in der jetzigen Malware-Kampagne genutzte Angriffstechnik, Opfern Befehle in die Zwischenablage zu schieben, die diese dann selbst nach Anleitung ausführen, ist seit rund einem Jahr recht populär. IT-Sicherheitsforscher von Proofpoint haben Mitte vergangenen Jahres vor dieser Angriffstechnik gewarnt.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare